Les experts de l'ANSSI parviennent facilement à s'introduire dans le réseau de sûreté depuis les simples postes bureautiques. Comment ? Grâce à des mots de passe que l'agence qualifie pudiquement de « triviaux » : il suffisait de taper " LOUVRE " pour accéder à un serveur de vidéosurveillance.
Une fois infiltrés, les auditeurs démontrent qu'il serait possible de compromettre le système de vidéo-protection, de modifier les droits d'accès des badges, et ce même depuis l'extérieur du musée. Le rapport pointe également la présence de systèmes obsolètes fonctionnant encore sous Windows 2000.
L'ANSSI recommande alors de renforcer les mots de passe, corriger les vulnérabilités et migrer vers des systèmes à jour. Mais qu'en a-t-il été fait réellement ?
2017 : de « grosses carences » persistent
Trois ans plus tard, un nouvel audit mené par l'Institut national des hautes études de la sécurité et de la justice confirme que les problèmes subsistent. Le rapport " Sûreté ", classé confidentiel, déplore « de grosses carences » dans le dispositif global, certaines similaires à celles identifiées en 2014.
Les systèmes d'exploitation obsolètes (Windows 2000 et Windows XP) sont toujours en service, sans mise à jour d'antivirus, souvent dépourvus de mots de passe ou de verrouillage de session. Les technologies de sûreté sont décrites comme « vieillissantes » avec des « dysfonctionnements techniques » réguliers et une maintenance « partielle ».
Le document avertit solennellement : si le musée « a jusqu'à présent été relativement épargné, il ne peut plus ignorer faire potentiellement l'objet d'une atteinte dont les conséquences pourraient se révéler dramatiques ».
2025 : huit logiciels impossibles à mettre à jour
Les documents techniques récents, publiés dans le cadre d'appels d'offres entre 2019 et 2025, révèlent que le problème n'est toujours pas résolu. Le système de sécurité du Louvre s'est complexifié au fil des années, accumulant les couches de circuits informatiques et de logiciels pour gérer vidéosurveillance analogique et numérique, détection d'intrusion, contrôles d'accès, badges...
Parmi ces outils figure Sathi, un logiciel édité par Thales et acheté en 2003 pour superviser la vidéoprotection et le contrôle d'accès. Problème : ce système ne bénéficie plus de développement depuis des années. En 2021, il fonctionnait encore sur Windows Server 2003, une solution abandonnée par Microsoft depuis 2015.
Plus inquiétant encore, un document d'appel d'offres de l'été 2025 liste pas moins de huit logiciels « ne pouvant pas être mis à jour », tous essentiels au fonctionnement de la sûreté du musée : vidéosurveillance, contrôles d'accès, serveurs...
Début 2025, la préfecture de police de Paris a lancé un audit de la sûreté du musée. Vincent Annereau, en charge de l'étude, confirmait le 29 octobre devant le Sénat que l'outil informatique « avait besoin d'être, véritablement, modernisé ».
Reste une question en suspens : comment le premier musée du monde, gardien de trésors inestimables, a-t-il pu ignorer pendant une décennie les alertes répétées sur ses vulnérabilités informatiques ?
Illustration : générée par l'IA
Connexion
