Un cambriolage qui révèle des failles béantes
Le 19 octobre 2025, un cambriolage spectaculaire frappe le musée du Louvre. En plein après-midi, plusieurs bijoux historiques, dont le diadème de l’impératrice Eugénie, sont dérobés dans la Galerie d’Apollon. Si les caméras de surveillance n’ont rien détecté, c’est surtout le système informatique du musée qui est désormais dans la tourmente.
Quelques jours plus tard, une enquête de CheckNews et de Libération dévoile un constat inquiétant : la cybersécurité du Louvre souffre d’un retard considérable. Des audits internes, restés confidentiels pendant des années, révèlent une accumulation de failles, de logiciels non mis à jour et de mots de passe aussi faibles que symboliques.
Des mots de passe dignes d’un film de hackers
Dès 2014, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) avait tiré la sonnette d’alarme. Les experts ont réussi à pénétrer le réseau de sûreté du musée, censé protéger les zones les plus sensibles. Leur découverte ? Un mot de passe « LOUVRE » suffisait pour accéder au serveur gérant la vidéosurveillance. Et pour un autre logiciel signé Thales, le mot de passe était tout simplement « THALES ».
« Un attaquant parvenant à prendre le contrôle du réseau de sûreté pourrait faciliter des dégradations voire des vols d’œuvres », alertait le rapport de l’ANSSI.
Les ingénieurs ont aussi montré qu’il était possible de modifier les droits d’accès des badges des employés depuis un simple poste du réseau interne. Pire encore, ces manipulations pouvaient être réalisées depuis l’extérieur du musée, ouvrant la porte à des scénarios catastrophiques.
Des systèmes obsolètes depuis une décennie
Le problème ne s’arrête pas aux mots de passe. Les audits ont mis en lumière une infrastructure vieillissante. Le logiciel Sathi, développé par Thales et installé en 2003 pour superviser la vidéosurveillance et le contrôle d’accès, tournait encore sur Windows Server 2003, un système abandonné par Microsoft depuis 2015. Aucun contrat de maintenance n’était en place, laissant le réseau sans mises à jour de sécurité depuis des années.
Cette obsolescence généralisée touche la quasi-totalité des composants du système de sûreté : serveurs, vidéosurveillance, gestion des badges et alarmes. Certains postes utilisaient encore Windows 2000 et Windows XP, deux systèmes d’exploitation qui ne bénéficient plus d’aucune protection depuis plus de dix ans. Une situation qui ferait frémir n’importe quel expert en cybersécurité.
Des alertes répétées, mais ignorées
Les problèmes du Louvre n’ont rien d’une surprise. Après l’audit de 2014, un nouveau rapport mené entre 2015 et 2017 par l’Institut national des hautes études de la sécurité et de la justice confirmait les mêmes défaillances : dysfonctionnements techniques, formation insuffisante et maintenance partielle. Les recommandations étaient claires : renouveler les mots de passe, mettre à jour les systèmes, et renforcer la gestion des accès.
Pourtant, peu de changements ont suivi. En 2025, des documents techniques montrent que huit logiciels critiques n’étaient toujours pas mis à jour. Ce manque de réactivité a fini par rattraper le musée, exposant non seulement ses trésors, mais aussi la sécurité de ses visiteurs.
Une prise de conscience tardive
Face à l’ampleur du scandale, la ministre de la Culture Rachida Dati a reconnu que des failles sérieuses existaient dans la sécurité du Louvre. Le ministère a lancé une série de mesures d’urgence pour moderniser l’infrastructure informatique du musée, en collaboration avec la préfecture de police et plusieurs experts en cybersécurité.
Le commissaire Vincent Annereau, chargé d’un nouvel audit, a déclaré devant le Sénat :
« Le Louvre avait conscience de la nécessité d’un regard neuf sur l’ensemble du dispositif de sûreté. »
Mais cette prise de conscience arrive après dix ans de laisser-aller, et un cambriolage qui restera dans les annales.
