C’est l’un des lieux les plus sécurisés de la planète, abritant certaines des œuvres d’art les plus précieuses de l’humanité. Et pourtant, un rapport post-braquage vient de révéler que le mot de passe des caméras de surveillance du Louvre n’était autre que… « Louvre ». Ce détail, digne d’un gag de jeu vidéo, expose les failles abyssales d’une cybersécurité institutionnelle souvent plus symbolique que réelle.Dans les jeux vidéo, les développeurs se moquent souvent des gardes et systèmes de sécurité incapables de protéger un simple coffre à cause d’un mot de passe grotesque comme « 1234 » ou « admin ». Dans la vraie vie, on rit jaune. Après le cambriolage audacieux qui a récemment secoué le musée parisien, les enquêteurs ont découvert que les caméras du réseau interne utilisaient comme mot de passe le nom du musée lui-même.
Autrement dit, n’importe quel intrus disposant d’un accès basique ou d’un peu de flair pouvait visionner les flux vidéo du système de surveillance, voire en prendre le contrôle. Ce n’est pas une erreur technique, mais une faute culturelle, révélatrice d’un mépris institutionnel pour les fondamentaux de la sécurité numérique.
Selon le quotidien Libération, ce vol est moins anormal qu'on pourrait le croire, car le Louvre souffre depuis plus de dix ans de lacunes flagrantes en matière de sécurité et de vulnérabilités informatiques.
« Comment les experts ont-ils réussi à infiltrer le réseau ? Principalement en raison de la faiblesse de certains mots de passe que l'Agence nationale de la sécurité des systèmes d'information (ANSSI) qualifie poliment de « triviaux », écrit Brice Le Borgne de Libération. « Tapez "LOUVRE" pour accéder à un serveur gérant la vidéosurveillance du musée, ou "THALES" pour accéder à l'un des logiciels publiés par... Thales. »
Comme le souligne Cass Marshall, cofondateur de Rogue et ancien bouffon en chef de Polygon, sur Bluesky, nous devons des excuses à de nombreux concepteurs de jeux vidéo. Nous avons passé des années à nous moquer de la stupidité des personnages de jeux vidéo qui laissaient leurs codes de sécurité et les combinaisons de leurs coffres-forts à la vue de tous, alors que le Louvre utilisait le mot de passe « Louvre » pour ses serveurs de vidéosurveillance.
Ce n'est pas une exagération.
Des documents confidentiels examinés par Libération détaillent une longue histoire de failles de sécurité au Louvre, qui remonte à un audit de cybersécurité réalisé en 2014 par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) à la demande du musée. Les experts de l'ANSSI ont réussi à infiltrer le réseau de sécurité du Louvre pour manipuler la vidéosurveillance et modifier l'accès aux badges.
Le musée a demandé un autre audit à l'Institut national des hautes études de sécurité et justice en 2015. Conclu deux ans plus tard, les 40 pages de recommandations de l'audit décrivaient des « lacunes graves », une gestion « médiocre » des flux de visiteurs, des toits facilement accessibles pendant les travaux de construction et des systèmes de sécurité obsolètes et défectueux.
Des documents ultérieurs indiquent qu'en 2025, le Louvre utilisait toujours un logiciel de sécurité acheté en 2003 qui n'était plus pris en charge par son développeur, fonctionnant sur du matériel utilisant Windows Server 2003.
Un écho glaçant d’un mal plus vaste
Le cas du Louvre n’est pas isolé. De nombreuses infrastructures publiques ou patrimoniales fonctionnent encore sur des systèmes hérités des années 2000, où la cybersécurité n’était qu’un gadget. Des mots de passe par défaut non changés, des connexions sans authentification à deux facteurs, des serveurs sous Windows Server obsolètes : tout un écosystème fragile, géré dans la routine.
Le symbole est d’autant plus fort que le musée n’est pas seulement un lieu touristique : c’est un organe d’État, un patrimoine mondial, une cible évidente pour la cybercriminalité. Et pourtant, sa protection numérique semble avoir été pensée comme celle d’un compte Wi-Fi d’hôtel.
« Nous venons de changer le mot de passe, il est désormais : Louvre1 »
Les internautes ont réagi avec un mélange de schadenfreude et d'incrédulité. L'utilisateur X @isareksopuro a demandé : « Le mot de passe des caméras de surveillance du Louvre... était LOUVRE ??? »
Pendant ce temps, @WeHigherThanSun a ironisé : « Quand le musée le plus célèbre au monde choisit comme mot de passe "louvre", on comprend mieux pourquoi Mona Lisa arbore ce sourire suffisant 😏 ».
Les blagues ont continué à s'accumuler. Par exemple, @shyzixtr a écrit : « Le Louvre déclare : nous venons de changer le mot de passe, il est désormais : Louvre1. » De même, @chiaswonderland a publié : « le concept de « louvre », qui était le mot de passe de la vidéosurveillance du Louvre », accompagné d'un GIF de Cynthia Erivo se tapotant la tête.
D'autres ont mélangé sarcasmes techniques et piques bureaucratiques. @LaodisOfficial a fait remarquer : « Malgré le RGPD, la norme ISO 27001 et la réglementation stricte imposée par des bureaucrates incompétents, le mot de passe du système de vidéosurveillance du Louvre était "Louvre". Les blagues s'écrivent toutes seules. »
Sur BlueSky, @rincewind.run s'est moqué des clichés cinématographiques en déclarant : « Nous sommes en 2025, personne n'utilise plus le mot de passe "password" comme mot de passe. Le Louvre : gardez notre baguette. »
Puis, @jamesomalley.co.uk a opposé la fiction à la réalité en publiant une photo du dispositif de fortune utilisé pour le cambriolage. Il a ajouté : « Dans les films : nous devons pirater une carte-clé, obtenue en séduisant l'un des gardes. Nous devons ensuite nous introduire par la lucarne après avoir sauté d'un avion, et esquiver tous les lasers et les pièges, en remplaçant soigneusement les bijoux par des faux du même poids pour éviter de déclencher l'alarme. »
Enfin, @lawrencecphd.bsky.social a plaisanté en disant : « Tous les bons mots de passe ont dû être volés par le British Museum. »
Le pire mot de passe le plus utilisé en France en 2023 est de loin "123456" avec plus de 86 000 entrées sur le Web
Les vieilles habitudes ont la vie dure : les gens continuent d'être négligents en matière de sécurité informatique, en particulier en ce qui concerne les mots de passe. Et les nombreuses explications des experts en cybersécurité sur la nécessité de renforcer ses codes d'accès ne semblent pas changer grand-chose. Selon les experts, l'on peut mettre cela sur le compte de la paresse, de la difficulté à se souvenir de chaînes de caractères complexes, ou tout simplement de l'indifférence. Quoi qu'il en soit, les mots de passe les plus couramment utilisés sont aussi les plus mauvais du point de vue de la sécurité, année après année. Ils sont aussi faciles à déchiffrer.
NordPass, l'outil de gestion des mots de passe distribué par l'équipe derrière NordVPN, s'est associé à des chercheurs indépendants pour publier son étude sur les 200 mots de passe les plus utilisés en 2...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.