ACTUALITÉS TECH – Nous n’arrivons pas à imaginer comment l’affaire a pu être traitée avec autant de légèreté, créant au final un tel désastre.
Après le vol du 18 octobre au Louvre, au cours duquel des joyaux de la Couronne d’une valeur de 102 millions de dollars ont été dérobés en plein jour, le mystère entourant les criminels s’est dissipé. Pendant leur fuite, les suspects ont laissé tomber une couronne et ont tenté, en vain, d’incendier une nacelle élévatrice pour détourner l’attention. Selon le quotidien français Libération, le vol n’a rien d’aussi inhabituel qu’on pourrait le croire : le Louvre souffre de vulnérabilités de sécurité et informatiques depuis plus d’une décennie.
Comme l’a relevé sur Bluesky Cass Marshall, co-fondateur de Rogue et ancien trublion en chef de Polygon, nous devons des excuses à de nombreux game designers. Pendant des années, nous nous sommes moqués des personnages de jeux qui laissaient des codes de sécurité et des combinaisons de coffres bien en vue, alors que le Louvre utilisait le mot de passe « Louvre » pour les serveurs de vidéosurveillance. Des documents confidentiels consultés par Libération détaillent la longue histoire des failles de sécurité du Louvre, remontant à un audit de 2014 mené, à la demande du musée, par l’agence française de cybersécurité (ANSSI).
Les experts de l’ANSSI ont pu pénétrer le réseau de sécurité du Louvre, manipuler la vidéosurveillance et modifier les autorisations des badges. Comment ont-ils pu s’introduire dans le réseau ? Principalement grâce à des mots de passe triviaux. En saisissant « LOUVRE », on obtenait l’accès au serveur gérant la vidéosurveillance du musée, et « THALES » ouvrait l’accès à un logiciel fourni par Thales. En 2015, le musée a demandé un nouvel audit à l’Institut national de sécurité et de justice.
Deux ans plus tard, leur rapport de 40 pages a révélé de graves lacunes : gestion défaillante des flux de visiteurs, toits facilement accessibles pendant des travaux, et systèmes de sécurité obsolètes et peu fiables. Des documents ultérieurs montrent qu’en 2025 le Louvre utilisait encore un logiciel de sécurité acquis en 2003, non maintenu par l’éditeur et fonctionnant sur du matériel sous Windows Server 2003.
Si la protection des joyaux de la Couronne française accuse vingt ans de retard, on peut sans doute regarder d’un œil moins sévère les mini-jeux de piratage, les mots de passe griffonnés sur des pense-bêtes et les cartes magnétiques trop faciles à dérober.
Source : PCGamer, Libération, Bsky
