Un cambriolage qui dépasse la vitrine

Le cambriolage d’octobre dernier n’a pas seulement vidé une vitrine : il a mis en lumière une dizaine d’années de négligences en matière de cybersécurité au sein du plus grand musée du monde. Derriere les chefs-d’oeuvre, l’infrastructure de protection apparaissait largement obsolette et vulnérable.

Des mots de passe d’une simplicite alarmante

Un audit de l’Agence nationale de la securite des systemes d’information (ANSSI) datant de 2014 avait deja tire la sonnette d’alarme. Les experts relevaient des mots de passe tellement faibles qu’ils permettaient de passer du reseau bureautique au reseau de surete ultra-sensible. Pour acceder au serveur de videosurveillance, il suffisait de saisir « LOUVRE ». Un logiciel de Thales etait protege par le mot de passe « THALES ».

Cette simplicite donnait une porte d’entree facile aux attaquants : prise de controle des cameras, modification des droits d’acces des badges, et potentiellement actions depuis l’exterieur du musee.

Une architecture technique obsolete

Au-dela des mots de passe, c’est l’ensemble de l’architecture qui etait a bout de souffle. Le musee utilisait des systemes obsoletes, notamment des versions de Windows telles que 2000, XP ou Server 2003, dont le support par Microsoft a cesse depuis plusieurs annees. Sans mises a jour, ces systemes restent exposes a des vulnerabilites connues et non corrigees.

Le logiciel Sathi, developpe par Thales pour superviser des elements critiques comme la videosurveillance et le controle d’acces, tournait encore sur un serveur Windows Server 2003 et ne beneficiait d’aucun contrat de maintenance. Cette accumulation d’obsolescence mettait en danger la protection des oeuvres et des millions de visiteurs annuels.

Des alertes repetees ignorees

La situation ne relevait pas d’une decouverte soudaine. Apres le rapport de l’ANSSI en 2014, un nouvel audit mene entre 2015 et 2017 confirmait la persistence des problemes, signalant des « dysfonctionnements techniques » et une « maintenance negligee ». Malgre ces avertissements, peu de mesures correctives avaient ete prises.

Encore en 2025, des documents techniques indiquaient que huit logiciels critiques n’etaient toujours pas mis a jour. Le cambriolage a finalement contraint la direction du Louvre et le ministere de la Culture a reconnaitre l’existence de « manquements » et a engager des mesures d’urgence pour boucher des braches existantes depuis plus de dix ans.

Mesures entreprises et enjeux

• Reconnaissance publique de manquements par les autorites du musee et le ministere de la Culture.
• Lancement de mesures d’urgence pour corriger les failles et moderniser les systemes critiques.
• Questionnement sur la gouvernance et la maintenance des systemes d’information dans les institutions culturelles accueillant un grand nombre de visiteurs.

Ce dossier souligne l’importance d’une maintenance continue et d’une politique de securite informatique active pour proteger non seulement des biens culturels, mais egalement le public et le personnel.