Le 19 octobre, en plein jour et sous le regard surpris de centaines de touristes, le musée du Louvre a été le théâtre d'un des braquages les plus audacieux de l'histoire moderne : deux hommes déguisés en ouvriers ont fait irruption dans la « Galerie Apollo », qui abrite les trésors les plus précieux du patrimoine français, et ont détruit en quelques minutes les vitrines contenant des bijoux napoléoniens et des couronnes d'une valeur incalculable.
Le butin, estimé à 88 millions d'euros, a disparu avec les voleurs alors que ces derniers s'enfuyaient à scooter dans les rues du centre de Paris avant que la police ne puisse réagir. Les caméras de sécurité, destinées à documenter chaque recoin du musée le plus visité au monde, n'ont pu enregistrer que des images floues et incomplètes.
Un célèbre musée à hauteur de bitume
Le choc initial a fait place à l'incrédulité lorsque, deux semaines plus tard, le journal français Libération a révélé le détail le plus embarrassant de l’enquête :
Le système de vidéosurveillance du musée avait le mot de passe… « LOUVRE ».
Les données ont mis au jour une décennie de négligence technologique. Les auditeurs du ANSII (Agence Nationale de Sécurité des Systèmes d'Information) avait déjà prévenu en 2014 que les mots de passe « triviaux » tels que PERSIENNE et THALÈS (le nom du fournisseur du logiciel de sécurité) pourrait être exploité pour manipuler les caméras et modifier les autorisations d'accès.
Le rapport de l'ANSSI est dévastateur : quiconque parviendrait à accéder au réseau interne du musée pourrait faciliter le vol d’œuvres d’art. Onze ans plus tard, l’avertissement s’est concrétisé mot pour mot.
Les audits de sécurité, pour quoi faire ?
Les documents obtenus par Libération montrent que le problème allait au-delà des mots de passe. Le Louvre exploitait encore des serveurs équipés de Windows Server 2003 et, jusqu'à récemment, des ordinateurs équipés de Windows 2000, un système d'exploitation abandonné il y a plus de dix ans.
Les mises à niveau étaient « impossibles » (en raison du recours à des logiciels propriétaires abandonnés) et les contrats de maintenance avec des fournisseurs privés ont été renouvelés sans surveillance ni audit complets.
En 2017, une nouvelle évaluation de l'Institut national des hautes études en sécurité et justice avait réitéré les « graves déficiences » du système et alerté sur l'accessibilité des toits pendant les travaux, la mauvaise gestion des flux de visiteurs et la fragmentation du contrôle interne. Aucune de ces recommandations n’a été pleinement mise en œuvre.
Coup électoral et réputationnel
La ministre de la Culture, Rachida Dati, a réagi maladroitement : dans les premiers jours après le vol, elle a insisté sur le fait que « les dispositifs de sécurité n'étaient pas défaillants »… mais dix jours plus tard, elle a reconnu devant le Sénat qu'« il y avait des lacunes et des défaillances de gestion », promettant une enquête exhaustive.
Le scandale arrive à un moment critique pour Dati, candidat à la mairie de Paris. Pendant ce temps, le musée qui protège le Mona Lisa Il s'est révélé incapable de se protéger.
Les informations divulguées ont suscité l'indignation du public et une vague de mèmes sur les réseaux sociaux, comparant la cybersécurité du Louvre à celle des jeux vidéo dans lesquels les personnages laissent leurs mots de passe collés sur des post-it.
Un vol peu sophistiqué et très humiliant
Loin de la figure du voleur élégant avec style Arsène Lupinles suspects interpellés – quatre hommes et une femme, résidents de Seine-Saint-Denis – se sont révélés être des délinquants de droit commun, sans lien avec le grand banditisme. Deux d'entre eux ont été arrêtés alors qu'ils tentaient de fuir le pays ; trois ont été libérés sans inculpation.
Les autorités n'ont retrouvé aucun des huit bijoux volés. Le parquet de Paris qualifie l'affaire d'« agression planifiée mais techniquement rudimentaire », ce qui rend encore plus évident l'effondrement du système de sécurité du musée.
Par | Libération
