Le spectaculaire cambriolage du 19 octobre 2025 au musée du Louvre n’a pas seulement mis en lumière des failles dans le système de sécurité physique : il a révélé des vulnérabilités importantes au niveau du système informatique. Derrière ses chefs-d’œuvre mondialement connus, l’institution culturelle la plus visitée du monde fonctionnait encore avec des systèmes obsolètes et des mots de passe à peine croyables…

Quand le mot de passe du Louvre était… LOUVRE

Une enquête menée par CheckNews (Libération) après le braquage de la Galerie d’Apollon du musée du Louvre a révélé que la sécurité informatique ne semblait pas être une priorité au sein de cette institution culturelle.

En effet, le réseau de sûreté du musée, censé protéger le système de gestion des accès, des alarmes, de la vidéosurveillance et de la gestion des badges, reposait sur des mots de passe d’une faiblesse déconcertante.

L’ANSSI (Agence nationale de la sécurité des systèmes d’information), qui avait audité l’infrastructure dès 2014, avait déjà tiré la sonnette d’alarme : certains serveurs critiques, dont celui dédié à la vidéosurveillance, étaient protégés par un mot de passe que n’importe qui pourrait deviner : LOUVRE, tout simplement. C’est l’exemple typique du mot de passe à éviter. Dans le même esprit, l’accès à un logiciel de l’entreprise Thales était protégé par le mot de passe… THALES. Facile. Oui, un peu trop.

Dans ce contexte, les auditeurs de l’ANSSI avaient pu accéder à des équipements sensibles depuis un poste de travail connecté au réseau. Cela ouvrait la porte à la modification des accès, voire au contrôle des caméras.

Des systèmes obsolètes et vulnérables

Le constat ne s’arrêtait pas là. L’audit de 2014 avait également relevé la présence de systèmes obsolètes, notamment Windows 2000 et Windows XP, toujours en fonctionnement. Trois ans plus tard, un nouvel audit conduit par l’Institut national des hautes études de la sécurité et de la justice (INHESJ) pointait des failles identiques, évoquant une maintenance défaillante.

On pourrait se dire que depuis 2014 et 2017, la situation a évolué… Malheureusement non, puisque des documents techniques datés entre 2019 et 2025 ont confirmé que le Louvre n’avait pas modernisé ses infrastructures. Par exemple, 8 logiciels liés à la vidéosurveillance et aux contrôles d’accès restaient privés de toute mise à jour. Par exemple, un logiciel développé par Thales tournait sur un serveur Windows Server 2003, abandonné par Microsoft depuis le 14 juillet 2015.

Malgré les avertissements répétés de l’ANSSI et de l’INHESJ, le Louvre semble avoir repoussé sans cesse les investissements nécessaires à la sécurisation de son système informatique. Même si certaines faiblesses ne relèvent pas de l’investissement financier, mais plutôt d’une négligence de la part des équipes techniques.

Le cambriolage d’octobre 2025 n’est pas seulement une affaire criminelle : c’est aussi un cas d’école sur les dangers d’une cybersécurité négligée. Depuis plus de 10 ans, le Louvre semble mettre de côté les investissements liés à la sécurité, en particulier sur la partie informatique. Désormais, la situation de crise liée au braquage semble avoir forcé la direction du Louvre à passer à l’action…