Des voleurs sont entrés par effraction par une fenêtre du deuxième étage, mais le musée a également eu d’autres problèmes avec des fenêtres non sécurisées, selon un rapport d’audit de cybersécurité vieux de dix ans et qui a maintenant été révélé.
Le musée du Louvre à Paris, victime d’un cambriolage audacieux impliquant un monte-meuble le mois dernier, se bat depuis plus d’une décennie pour mettre à niveau ses logiciels obsolètes, y compris celui contrôlant ses systèmes de vidéosurveillance, selon un article d’un journal français.
Le 19 octobre, des voleurs ont utilisé un monte-meuble pour s’introduire par une fenêtre du deuxième étage, volant huit bijoux. Les systèmes d’alarme sur la vitrine et sur la vitrine contenant les bijoux ont fonctionné comme prévu, selon le ministère français de la Culture, et la police est arrivée sur place dans les trois minutes. Le raid a donné lieu à un examen de fond en comble de la sécurité du musée.
L’Inspection générale des affaires culturelles (IGAC) a soumis ses premières conclusions la semaine dernière, incitant le ministre de la Culture à recommander de nouvelles règles de gouvernance et politiques de sécurité, l’installation de caméras de sécurité supplémentaires autour du périmètre du bâtiment et une mise à jour urgente de tous les protocoles et procédures de sécurité d’ici la fin de l’année. Les détails du rapport restent confidentiels.
Les problèmes informatiques remontent à plus d’une décennie
Mais de nombreux problèmes informatiques liés aux systèmes de sécurité étaient déjà évidents dès 2014 et 2017, selon de précédents audits confidentiels des systèmes de sécurité consultés par le journal français Libération.
Le musée utilisait encore Windows 2000 sur son réseau bureautique lorsque l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a réalisé son audit de 2014, rapporte le journal, même si Microsoft avait cessé de fournir des mises à jour de sécurité pour cette version de son système d’exploitation trois ans plus tôt, en juillet 2010. Le rapport d’audit mettait également en évidence un serveur de vidéosurveillance avec le mot de passe « LOUVRE » et une application de vidéosurveillance réalisée par Thales avec le mot de passe « THALES », précise le journal.
L’ANSSI a naturellement recommandé d’utiliser des mots de passe plus complexes, de migrer les logiciels vers des versions supportées par les développeurs et de corriger les vulnérabilités. Libération a déclaré que le musée avait refusé de répondre lorsqu’on lui a demandé s’il avait suivi ces recommandations.
Mais il est évident que certains d’entre eux n’ont pas été suivis.
Un deuxième audit a eu lieu en 2017, réalisé cette fois par l’Institut national des hautes études en sécurité et justice (INHESJ). « Certains postes de travail ont des systèmes d’exploitation obsolètes (Windows 2000 et Windows XP) qui ne garantissent plus une sécurité efficace (pas de mise à jour antivirus, pas de mots de passe ni de verrouillage de session…) », indique Libération citant l’audit. Microsoft a mis fin au support étendu de Windows XP en 2014.
Aucune mise à jour pour huit applications de sécurité
Le journal a également examiné les appels d’offres et autres documents de marchés publics émis par le musée au cours des années qui ont suivi les audits.
Vingt ans de dette technique ont lourdement pesé sur la sécurité du Louvre, qui a progressivement accumulé des systèmes de vidéosurveillance analogique, de vidéosurveillance numérique, de détection d’intrusion et de contrôle d’accès, certains avec des serveurs dédiés ou des applications propriétaires. Certains d’entre eux sont devenus obsolètes au fil du temps et ont dû être mis à jour ou remplacés.
Thales a fourni un de ces systèmes, Sathi, au Louvre en 2003, mais il ne le supportait plus en février 2019, selon les documents de marché public consultés par le journal. Pas plus tard qu’au milieu de cette année, huit publications Sathi figuraient sur une liste de musées de « logiciels qui ne peuvent pas être mis à jour ».
Les problèmes Windows du Louvre ont persisté au moins jusqu’en 2021, lorsqu’un autre document a indiqué que le musée utilisait Sathi sur une machine exécutant toujours Microsoft Windows Server 2003, qui a atteint la fin du support étendu en 2015.
Rien n’indique que les problèmes logiciels de longue date du Louvre soient impliqués dans le récent cambriolage, mais le rapport de l’IGAC de la semaine dernière a mis en évidence un certain nombre de failles de sécurité, notamment des systèmes de surveillance insuffisants et une sous-estimation des risques d’intrusion remontant à 20 ans.
