Parola ireală care proteja muzeul Luvru, cel mai important din lume, înainte de jaful spectaculos

Parole incredibil de simple, ca într-un joc de copii, au protejat ani de zile sistemele informatice ale Muzeului Luvru. Această neglijență, care pare ireală, a lăsat serverul de supraveghere video vulnerabil și a creat condițiile pentru jaful spectaculos din 19 octombrie.

În decembrie 2014, trei experți ai Agenției Naționale Franceze pentru Securitate Cibernetică (ANSSI) au verificat sistemele informatice ale muzeului, constatând că rețeaua de securitate care gestionează camerele video, alarmele și controlul accesului era vulnerabilă. Expertiza avertiza că un atacator ar fi putut compromite sistemul fără dificultăți.

Parole banale și sisteme învechite au deschis ușa hoților

Auditul din 2014, realizat de Agenția Națională Franceză pentru Securitate Cibernetică (ANSSI), arăta clar riscurile, scrie Liberation.

Cel mai vizitat muzeu din lume era protejat de parole banale. Serverul sistemului de supraveghere video al Muzeului Luvru putea fi accesat cu „Muzeul Luvru”, iar un program al companiei Thalès cu parola „Thales”, transmite Libération.

La cererea muzeului, în decembrie 2014, Agenția Națională Franceză pentru Securitate Cibernetică (ANSSI) a venit pentru a efectua un audit al sistemelor IT și, mai precis, pentru a testa rețeaua de securitate.

În timpul testelor, experții s-au infiltrat din birouri în rețeaua de securitate, constatând că serverele învechite și parolele banale permiteau modificarea drepturilor de acces și compromiterea sistemului.

Această rețea este locul unde „sunt conectate cele mai importante echipamente de protecție și detectare ale muzeului”, explică ANSSI, „cum ar fi controlul accesului, alarmele și supravegherea video. Un atacator care reușește să preia controlul asupra acesteia ar putea facilita deteriorarea sau chiar furtul operelor de artă”.

Constatările acestui audit, analizat de CheckNews, sunt enumerate într-un document de 26 de pagini, marcat cu „distribuție restricționată”, notează sursa citată.

În ciuda recomandărilor de a remedia deficiențele, multe măsuri nu au fost implementate, iar jaful a transformat o eroare tehnică într-un dezastru concret, cu bijuterii de 88 de milioane de euro dispărute.

Tastați „Luvre” pentru Luvre

Un an mai târziu, în 2015, conducerea Luvrului a cerut un nou control. Raportul final din 2017 confirma „deficiențe semnificative în sistemul general”, multe dintre ele erau similare cu cele din 2014.

Deși muzeul „a fost până acum relativ cruțat, nu mai poate ignora amenințarea potențială a unui atac ale cărui consecințe s-ar putea dovedi dramatice”, avertiza documentul.

Slăbiciunea anumitor parole erau descrise politicos de Agenția Națională Franceză de Securitate Cibernetică (ANSSI) drept „banale”. Acestea erau „Luvru” pentru a accesa serverul care gestiona supravegherea video a muzeului Luvru sau „Thales” pentru a accesa unul dintre programele software publicate de… Thales. Identic cu cele constate în 2014.

În plus, „rețeaua de birouri a Muzeului Luvru include unele sisteme învechite (Windows 2000)”, subliniază Agenția.

La acea vreme, ANSSI a încurajat, așadar, Muzeul Luvru să ia măsuri corective: să creeze parole mai complexe, să remedieze vulnerabilitățile din aplicații și să migreze „sistemele învechite către versiuni întreținute de editorul de software”.

Confruntat cu aceste deficiențe majore, care dintre aceste măsuri a implementat Muzeul Luvru?, se întreabă retoric publicația.  

 Muzeul a refuzat să comenteze, mai notează Liberation.