Qui nest pas au courant que, le 19 octobre dernier, le Louvre sest fait braquer comme dans un film : vol de bijoux, dont le diadme de limpratrice Eugnie et deux colliers, qualifis dobjets dune valeur inestimable par le ministre de la Culture ?
Des rvlations de Libration et CheckNews ont mis au jour de graves failles de scurit et un mot de passe digne du clbre ADMIN .
Selon les documents consults (audits privs, appels doffres, rapports internes), les problmes ne datent pas dhier.
On y dcouvre, entre autres, des logiciels critiques non mis jour depuis des annes, des systmes de vidosurveillance, de contrle daccs et dalarme clats en plusieurs couches ajoutes les unes sur les autres, ainsi que des serveurs obsoltes. Et tout a tournait encore sous Windows Server 2003 (OS abandonn depuis 2015).
Un audit en 2014 avait dj rvl que :
- les applications et systmes dploys prsentaient de nombreuses vulnrabilits
- les auditeurs ont russi pntrer le rseau de sret partir du rseau bureautique
- ils ont pu compromettre la vidosurveillance et modifier les droits dun badge dans la base de donnes
- et ces attaques pourraient, en plus, tre menes depuis lextrieur du muse
La partie la plus croustillante rvle aussi la faiblesse des mots de passe :
- taper LOUVRE permet daccder un serveur qui gre la vidosurveillance
- le mot de passe THALES donne accs un logiciel de sret dit par Thales
- le tout sur des OS non supports, sans mises jour de scurit ni verrouillage de session digne de ce nom
Un second audit en 2015 et un travail au long cours (jusquen 2017) men par lInstitut national des hautes tudes de la scurit et de la justice ont confirm le diagnostic, en pointant de grosses carences dans le dispositif global.
Il faudra attendre 2025 et un cambriolage spectaculaire pour que la prfecture de police lance un nouvel audit et conclue que la scurit du Louvre avait besoin dtre modernise.