Alors que l’enquête concernant les vols spectaculaires commis au plus grand musée du monde se poursuit, et que les services de police ont déjà mis la main sur trois des voleurs, Libération avec son antenne CheckNews a mis la main sur des éléments plus que perturbants concernant la sécurité informatique du Louvre.
Selon une foultitude de rapports de l’ANSSI, certains en libre accès et d’autres à diffusion restreinte que s’est procurés le journal, le réseau informatique du musée ferait frémir n’importe quel responsable sécurité informatique, ou même n’importe quelle personne formée à l’hygiène numérique : entre logiciels au support abandonné par le fournisseur, systèmes d’exploitation antédiluviens côté terminal comme côté serveur, ou même mots de passe dignes du fameux « 1234 » voire absents, c’est un joli cumul de tares basiques.
En 2014, l’ANSSI fait un audit dans le musée. Les choses commencent mal : l’intrusion dans les systèmes de sécurité, dont ceux gérant les caméras, se montre des plus faciles. Et pour cause, une fois sur un des postes du réseau interne, il suffit de taper « LOUVRE » pour accéder à une session, et le logiciel Thalès Sathi gérant les caméras est protégé par un simple « THALES ». Certains n’ont semble-t-il pas suivi les cours de sécurité informatique de base. Déjà à l’époque sont aussi relevés certains logiciels périmés, que l’ANSSI incite aussi à mettre à niveau.
2017, rebelote : cette fois, certains terminaux et autres sessions utilisateur n’ont carrément pas de mot de passe, et sont ainsi accessibles directement ! Mais de toute façon, un mot de passe n’arrêterait pas un malandrin un peu tenace : les terminaux disséminés dans le musée sont pour la plupart sous Windows XP, voire Windows 2000 Pro, tous deux abandonnés par Microsoft, depuis 2014 pour le premier et depuis 2010 pour le second, soit tout de même entre 4 et 7 ans sans mise à jour de sécurité... pour compléter le tableau, les anti-virus de ces postes ne sont pas à jour non plus.
Et en 2025, qu’en est-il ? Si certaines erreurs basiques comme les mots de passe ont été, espérons-le, corrigées, d’autres soucis plus profonds demeurent. Le logiciel de gestion des caméras Sathi de Thalès est, selon les audits, toujours en place alors que son support a été abandonné par Thalès depuis 2019, et d’autres logiciels dépassés sont aussi responsables de la gestion des badges, de la détection d’intrusion ou encore de la détection rapprochée des œuvres, en place pour détecter toute main un peu trop baladeuse auprès des pièces du musée. Au global, au moins l’un des serveurs, celui gérant entre autres Sathi, tourne sur un système d’exploitation périmé : en effet, le logiciel de Thalès n’est compatible qu’avec Windows Server 2003, abandonné par Microsoft depuis 2015. Une paille.
Toutes ces failles montrent une gestion où la sécurité informatique est prise à la légère, que ce soit par des personnes ne comprenant pas l’importance d’un mot de passe fort, ou par d’autres n’ayant pas les moyens financiers de mettre à niveau l’installation informatique du musée. Voilà qui est problématique, quand celle-ci doit gérer la sécurité des œuvres, ainsi que des personnes. Le responsable de l’audit mené suite au vol des bijoux estimé à 88 millions d’euros, Vincent Annereau, semble être réaliste sur l’état du parc informatique du lieu : « [Le parc informatique] avait besoin d’être, véritablement, modernisé [...] Ce dont je peux témoigner, c’est que la direction du Louvre avait pleine conscience de la... pas de la faiblesse, mais de la nécessité d’avoir un regard neuf sur le dispositif de sûreté de l’ensemble du musée ». Espérons qu’à la parole, se joignent les actes.
