Le mot de passe utilisé pour accéder au système de vidéosurveillance du Louvre était « LOUVRE », une faille de sécurité révélée par plusieurs audits, dont un réalisé en 2014 par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), et confirmée par des documents confidentiels consultés par des médias en novembre 2025. Cette vulnérabilité, combinée à l’utilisation de systèmes obsolètes comme Windows 2000, a permis aux experts de l’ANSSI de s’introduire dans le réseau de sûreté depuis le réseau bureautique, compromettant ainsi la vidéosurveillance et la gestion des badges.

• Le mot de passe « LOUVRE » donnait accès au serveur de vidéosurveillance, tandis que « THALES » permettait d’entrer dans un logiciel édité par cette entreprise.
• Des systèmes d’exploitation obsolètes, notamment Windows 2000 et Windows Server 2003, étaient encore en usage, ce qui empêchait toute mise à jour de sécurité.
• Un audit réalisé en 2014 avait déjà mis en évidence ces failles, et un nouveau rapport en 2024 a confirmé que les problèmes persistaient, avec des logiciels comme Sathi, développé par Thales, ne pouvant plus être mis à jour.
• La direction du Louvre avait conscience de ces faiblesses, mais aucune amélioration significative n’a été confirmée depuis, malgré les recommandations des experts.

Conclusion

Cette affaire révèle combien une cybersécurité négligée peut fragiliser même les institutions les plus prestigieuses. L’usage de mots de passe faibles et de systèmes obsolètes a exposé le réseau du Louvre à des risques évitables. Malgré les alertes répétées, peu d’actions concrètes ont été entreprises, rappelant que la protection numérique doit être une priorité, non une option.