Lors du spectaculaire cambriolage du 19 octobre, la ministre de la Culture assurait que les dispositifs du Louvre avaient parfaitement fonctionné. Mais en coulisses, une enquête administrative a mis au jour un tout autre tableau, comme l’a révélé CheckNews et Libération. Depuis 2014, plusieurs audits internes et externes pointent des défaillances inquiétantes dans la cybersécurité du musée.
Mots de passe « triviaux » et systèmes obsolètes
À l’époque, l’Agence nationale de la sécurité des systèmes d’information (Anssi) avait déjà tiré la sonnette d’alarme après un test grandeur nature. Les experts avaient pu pénétrer le réseau de sûreté — celui qui pilote les alarmes, la vidéosurveillance et les accès — à partir de simples postes de travail internes. En cause : des mots de passe « triviaux », comme « LOUVRE » ou « THALES », et des ordinateurs fonctionnant encore sous Windows 2000.
Le rapport, estampillé « diffusion restreinte », prévenait qu’un attaquant externe pourrait aisément compromettre la vidéoprotection ou modifier les accès aux zones sensibles du musée. L’Anssi recommandait alors de renforcer les mots de passe, de mettre à jour les systèmes et de migrer vers des logiciels sécurisés.
Trois ans plus tard, un audit de l’Institut national des hautes études de la sécurité et de la justice confirmait que peu de progrès avaient été réalisés. Ce rapport de 2017 évoquait de « grosses carences » dans le dispositif global de sûreté : technologies vieillissantes, maintenance partielle, formation insuffisante des agents et toits accessibles en cas de travaux.
Sur le plan informatique, la situation n’était guère plus rassurante : des postes fonctionnaient encore sous Windows XP, sans antivirus ni verrouillage de session. Les recommandations, une quarantaine de pages au total, n’ont jamais été rendues publiques, et le musée n’a pas souhaité répondre aux questions des journalistes sur les mesures réellement appliquées.
Les appels d’offres récents du musée confirment que plusieurs systèmes critiques sont aujourd’hui obsolètes. Le logiciel Sathi, utilisé depuis 2003 pour la supervision de la vidéosurveillance et du contrôle d’accès, n’est plus maintenu par Thales depuis des années. Huit autres programmes figurent dans une liste interne de « logiciels ne pouvant pas être mis à jour », dont certains tournent encore sur des serveurs Windows 2003.
La situation est d’autant plus préoccupante que ces outils sont censés garantir la sécurité du plus grand musée du monde. En début d’année, la préfecture de police de Paris a lancé un audit complet des PC sécurité du Louvre. Le commissaire Vincent Annereau, chargé de cette mission, a reconnu devant le Sénat que le système avait « besoin d’être, véritablement, modernisé ». Trop tard.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
