Si la sécurité physique du musée a été pointée du doigt à l’occasion du vol de bijoux, la cybersécurité du Louvre est aussi défaillante. Preuve en est un ancien audit de l’Anssi qui refait surface.
Le 19 octobre, des voleurs ont utilisé un monte-meubles pour s’introduire par effraction par une fenêtre du deuxième étage et ont dérobé huit bijoux. Les systèmes d’alarme de la fenêtre et de la vitrine contenant les bijoux ont fonctionné comme prévu, selon le ministère français de la Culture, et la police est arrivée sur les lieux en trois minutes. Le raid a entraîné un audit complet de la sécurité du musée. L’Inspection générale des affaires culturelles (IGAC) a remis ses premières conclusions la semaine dernière, incitant le ministre de la Culture à recommander de nouvelles règles de gouvernance et politiques de sécurité, l’installation de caméras de surveillance supplémentaires autour du bâtiment et une mise à jour urgente de tous les protocoles et procédures de sécurité d’ici la fin de l’année. Le contenu du rapport reste confidentiel.
Mais ce que le rapport ne dit pas, c’est que de nombreux problèmes informatiques liés aux systèmes de sécurité étaient déjà manifestes en 2014 et 2017, selon des audits confidentiels antérieurs des systèmes de sécurité consultés par Libération. Ainsi, le musée utilisait encore Windows 2000 sur son réseau bureautique lorsque l’Agence nationale de la sécurité des systèmes d’information (Anssi) a mené son audit de 2014. Pourtant, Microsoft avait cessé de fournir des mises à jour de sécurité pour cette version de son système d’exploitation trois ans auparavant, en juillet 2010. Le rapport d’audit a également mis en évidence un serveur de vidéosurveillance dont le mot de passe était « Louvre » et une application de vidéosurveillance Thales dont le mot de passe était « Thales », précise le journal. L’agence a naturellement recommandé l’utilisation de mots de passe plus complexes, la migration des logiciels vers des versions prises en charge par les développeurs et la correction des failles de sécurité. Interrogé sur la mise en œuvre de ces recommandations, le musée a refusé de répondre. Il est clair, cependant, que certaines d’entre elles n’ont pas été suivies.
Des versions obsolètes des solutions de vidéosurveillance
Un second audit a eu lieu en 2017, mené cette fois par l’Institut national d’études avancées en sécurité et justice (INHESJ). « Certains postes de travail sont équipés de systèmes d’exploitation obsolètes (Windows 2000 et XP) qui ne garantissent plus une sécurité efficace (absence de mises à jour antivirus, de mots de passe et de verrouillage de session…) », indique l’audit cité par Libération. Microsoft a mis fin au support étendu de Windows XP en 2014.
De même, l’analyse des appels d’offres et d’autres documents des marchés publics passées par le Louvre après les audits montre que 20 ans de dette technique ont pesé lourdement sur la sécurité du musée. L’établissement a accumulé des systèmes de vidéosurveillance analogique et numérique, de détection d’intrusion et de contrôle d’accès, certains avec des serveurs dédiés ou des applications propriétaires. Certains de ces systèmes sont devenus obsolètes et nécessitaient une mise à jour ou un remplacement. Thales a fourni un système de ce type, Sathi, au Louvre en 2003, mais n’en assurait plus le support dès février 2019. Une version de Sathi tournait sur une machine fonctionnant sur du Windows Server 2003, dont le support a expiré fin 2015. Rien n’indique que les problèmes logiciels persistants du Louvre soient liés au récent cambriolage, mais le rapport de l’IGAC publié la semaine dernière a mis en lumière plusieurs failles de sécurité, notamment des systèmes de surveillance insuffisants et une sous-estimation des risques d’intrusion remontant à 20 ans.