Selon le rapport d’audit, le mot de passe administrateur utilisé pour certains des systèmes critiques du musée était « LOUVRE », le nom de l’institution elle-même.
De plus, un mot de passe facile à deviner tel que « THALES » a été détecté sur un autre serveur.
Il a été affirmé que ces mots de passe ont été utilisés pendant longtemps sans être modifiés, ce qui est totalement contraire aux normes de sécurité.
Systèmes non mis à jour et logiciels obsolètes
Le rapport souligne que non seulement les mots de passe mais aussi l’infrastructure sont sérieusement obsolètes.
Certaines caméras de sécurité et systèmes de contrôle exécutent encore des systèmes d’exploitation dont la prise en charge a expiré il y a des années.
Le logiciel n’était pas régulièrement mis à jour, les droits d’accès étaient définis de manière confuse et certains serveurs n’étaient même pas dotés de correctifs de sécurité de base.
Négligence institutionnelle
Selon les experts, cette situation n’est pas seulement technique mais témoigne également d’un manque de culture de sécurité dans l’entreprise.
Même si d’importants investissements sont réalisés dans la sécurité physique d’un musée, il convient de noter que ses systèmes numériques ne sont pas protégés dans la même mesure.
Grâce à ces vulnérabilités, les attaquants peuvent accéder aux systèmes de caméras ou aux bases de données contenant des informations sur les visiteurs.
leçon de cybersécurité
Les experts estiment que cet incident montre que « même des institutions majestueuses peuvent négliger des règles de sécurité simples ».
Des mots de passe faibles ou en double, des systèmes qui ne sont pas mis à jour et un manque de contrôle centralisé invitent aux attaques numériques.
Si la direction du Louvre n’a pas fait de déclaration officielle sur le sujet, un audit numérique à grande échelle devrait être lancé dans les institutions culturelles en France.
