Un audit interne a révélé que le musée du Louvre à Paris avait utilisé le mot de passe « Louvre » pour protéger son système de vidéosurveillance, soulevant de sérieuses questions sur les pratiques de l’institution en matière de sécurité numérique. La révélation a refait surface après un braquage très médiatisé le mois dernier au cours duquel des voleurs ont volé huit pièces de la collection de joyaux de la couronne française.
Selon des documents examinés par les médias français, les faiblesses en matière de cybersécurité ont été identifiées pour la première fois en 2014 lors d’une inspection de l’Agence nationale de la sécurité des systèmes d’information. Le rapport a révélé que les serveurs de surveillance du musée exécutaient des logiciels obsolètes et utilisaient des mots de passe faciles à deviner. Les enquêteurs ont déclaré que les mêmes faiblesses semblaient persister depuis des années, malgré des avertissements répétés.
L’audit a permis de constater que certaines parties du système fonctionnaient encore sous Windows 2003, une version désuète qui n’était plus prise en charge par Microsoft. Les experts ont déclaré que les systèmes laissés sans mises à jour ou contrôles d’authentification modernes sont des cibles faciles pour les intrusions et les manipulations. Une technologie obsolète rend également difficile l’enregistrement ou la détection des activités suspectes.
La direction du Louvre n’a pas contesté les conclusions, mais a décrit ses défis en matière de sécurité comme des « problèmes structurels de longue date ». Les responsables ont déclaré que le sous-financement chronique et la surveillance fragmentée ont contribué aux retards dans la mise à niveau des systèmes. La ministre française de la Culture, Rachida Dati, a déclaré à la presse que le musée avait « sous-estimé » les risques d’intrusion et qu’un examen de toutes les pratiques de sécurité des institutions culturelles était en cours.
Le braquage du 19 octobre a été l’un des vols les plus importants de l’histoire du musée. Les voleurs auraient accédé à l’accès pendant les heures de visite, maîtrisé les gardes et se seraient échappés avec des bijoux d’une valeur de dizaines de millions d’euros. Bien que l’enquête soit en cours, les premières conclusions suggèrent que les attaquants ont exploité à la fois les faiblesses physiques et numériques. Les images de sécurité de certaines zones étaient manquantes ou corrompues, et les serrures électroniques n’ont pas déclenché d’alarmes pendant le vol.
Les spécialistes de la cybersécurité ont déclaré que la mauvaise politique de mot de passe du musée et l’infrastructure obsolète ont probablement facilité la planification de leurs opérations par les attaquants. Les mots de passe simples font partie des erreurs de sécurité les plus courantes et peuvent permettre aux criminels de contourner les systèmes de surveillance ou de désactiver les alarmes à distance. Les experts ont également noté que la séparation des responsabilités en matière de sécurité physique et numérique peut créer des lacunes que les attaquants exploitent.
L’incident a relancé le débat sur la préparation numérique des institutions culturelles. De nombreux musées s’appuient sur des systèmes hérités conçus à l’origine pour la surveillance de base plutôt que pour la sécurité cyber-physique intégrée. À mesure que les opérations deviennent plus complexes et interconnectées, ces systèmes deviennent souvent des passifs. Même les musées les plus célèbres du monde, qui manipulent des œuvres d’art et des objets inestimables, sont confrontés aux mêmes défis de cybersécurité que les petites organisations.
Selon les analystes, l’affaire démontre à quel point la cybersécurité est désormais indissociable de la sécurité physique. « Lorsque les contrôles d’accès ou les caméras sont gérés par des systèmes en réseau, un mot de passe faible ou un logiciel obsolète peut avoir des conséquences dans le monde réel », a déclaré un chercheur français en sécurité aux médias locaux.
À la suite du vol, les autorités ont ordonné un examen complet de l’infrastructure de sécurité du Louvre. Les premières recommandations comprennent la modernisation des systèmes de surveillance, le remplacement des logiciels obsolètes, l’application de contrôles stricts des mots de passe et des contrôles d’accès, et l’intégration d’audits de cybersécurité dans les contrôles opérationnels de routine. D’autres musées nationaux devraient faire l’objet d’évaluations similaires.
L’affaire du Louvre rappelle que même les institutions prestigieuses peuvent souffrir de défaillances de sécurité fondamentales. Pour de nombreux experts, cela met en évidence une vérité simple : la technologie seule ne peut pas prévenir la criminalité sans une gestion appropriée, des systèmes mis à jour et des pratiques de sécurité disciplinées.