La scoperta che la password di accesso ai sistemi di videosorveglianza del Louvre corrispondeva proprio al nome del museo ha suscitato stupore. Negli ultimi dieci anni, una serie di audit interni hanno riportato problemi informatici di varia natura: dall’utilizzo di software datati fino all’impiego di credenziali banali.
Rapporti stilati dall’Agenzia nazionale per la sicurezza dei sistemi informatici, insieme a quelli di altri enti specializzati, hanno rilevato che la sicurezza digitale dell’istituzione non ha rispettato gli standard necessari, rivelando una situazione allarmante.
Audit e ispezioni, le prime segnalazioni
Nel dicembre 2014, il museo ha richiesto un controllo approfondito all’ANSSI, affidando agli esperti l’analisi della rete interna che collega dispositivi fondamentali come telecamere e sistemi di allarme. I risultati ottenuti hanno evidenziato la presenza di vulnerabilità sia nelle applicazioni sia nell’hardware installato.
È risultato possibile penetrare la rete a partire da un semplice computer, accedendo senza ostacoli sia ai server della videosorveglianza sia alle banche dati dei badge.
Le password di accesso, che corrispondevano a nomi semplici come “LOUVRE” o “THALES” – quest’ultimo identico a quello del fornitore – sono state individuate come il principale punto debole, affiancate da postazioni ancora operative con sistemi Windows datati e antivirus non aggiornati.
L’agenzia ha quindi raccomandato l’adozione di password più sicure e la migrazione dei sistemi ormai obsoleti, sottolineando la necessità di correggere le falle individuate.
Una gestione segnata da criticità
Due anni dopo, la direzione del Louvre ha incaricato l’Istituto nazionale delle alte studi sulla sicurezza e la giustizia di una nuova verifica, conclusa nel 2017 con la stesura di un rapporto confidenziale.
In queste pagine il museo viene descritto come un sistema caratterizzato da carenze rilevanti: tra le problematiche citate figurano la formazione del personale, la gestione dei flussi di visitatori, la manutenzione delle apparecchiature e il coordinamento delle risorse.
Ancora una volta sono stati segnalati dispositivi datati, software non aggiornati e l’uso di password semplici. Nel periodo compreso tra il 2019 e il 2025, documenti pubblicati direttamente dal museo rivelano che la sicurezza si basa su una struttura frammentata, un insieme eterogeneo di reti e protocolli dove videosorveglianza analogica e digitale convivono con sistemi di accesso, badge, allarmi e sensori.
Otto software, tra cui quello che sovrintende la supervisione dei controlli, sono definiti “non più aggiornabili” e poggiano su codici risalenti a oltre vent’anni fa, con server che continuano a operare su versioni di Windows non più supportate.
Cosa
All’inizio del 2025, la Prefettura di Parigi ha avviato una nuova indagine sui centri di controllo del museo, con l’obiettivo di colmare le lacune evidenziate. Secondo il commissario responsabile, Vincent Annereau, la modernizzazione dell’infrastruttura informatica è ormai urgente.
La vicenda della password elementare ha assunto un valore emblematico: un’icona mondiale dell’arte si confronta con sistemi di sicurezza ereditati dal passato, costringendo la direzione a ripensare le strategie di protezione del patrimonio.
Oltre alle barriere fisiche e agli allarmi, occorre investire in reti isolate, server aggiornati e protocolli specifici, che rappresentano oggi le misure indispensabili per preservare la sicurezza delle opere.
