Le braquage du Louvre révèle de graves failles technologiques: logiciels et mots de passe vulnérables

Le journal français Libération publie une enquête dans laquelle, en plus de révéler que le mot de passe du musée était le nom de l'entité, elle montre les failles critiques de sécurité au Louvre comme l'utilisation de Windows Server 2003, un logiciel qui ne bénéficie plus de mises à jour de sécurité depuis 2015, en plus des programmes spécialisés, également obsolètes.

Le système d'exploitation Windows Server 2003 est considéré comme une version pour environnement professionnel de Windows XP, puisqu'il partage de nombreuses caractéristiques internes et externes de fonctionnement. Alors que Windows Server 2003 a cessé de recevoir un support officiel de la part de Microsoft en 2015, la version domestique a fait de même en 2014, un an auparavant.

En ce sens, Sergio García, directeur de i3e, un especialista en soluciones tecnológicas que cuenta con 25 años de experiencia en el sector IT, explique que “junto con el hecho de tener como contraseña el nombre del museo, la entidad carecía de infraestructura de seguridad, algo que, muy seguramente, haya sido uno de los puntos más críticos que han propiciado el robo de valor incalculable de las piezas napoleónicas”.

Una investigación publicada por el medio francés Libération revela que, además del sistema operativo Windows Server, el museo parisino contaba en su haber con programas desactualizados: ocho programas informáticos dedicados a la vigilancia de las instalaciones, entre ellos, Thalès, que no recibían ningún tipo de soporte.

La investigación publicada por Libération revela que la entidad usaba software comprado en 2003. Néanmoins, las empresas consultadas por el medio francófono explican que “no había ningún contrato de mantenimiento de estos programas, y el museo no se puso en contacto en ningún momento con los desarrolladores para actualizar los servicios”.

En plus, un documento de licitación pública de 2019 expone que uno de los programas utilizados para la vigilancia crítica del museo, Thalès, tampoco recibía soporte por parte de Sathi, la empresa matriz. Más todavía, que este mismo programa se estaba ejecutando en una máquina que funciona con el sistema operativo Windows Server 2003, una versión modificada de Windows XP.

Acumulación de obsolescencia

Los expertos alertan de que, en estos casos, a pesar de que la máquina continuase funcionando en términos estrictos, “realmente ya no servía para su cometido”, explica García.

“El objetivo de usar programas para la vigilancia pasa por el hecho de que el propio ‘vigilante’ esté al tanto de lo que sucede. En el caso del museo, no sólo era la contraseña lo que peligraba. Era, aussi, el uso de software obsoleto en sistemas operativos antiguos que se ejecutaban en máquinas primigenias”, afirma el gerente de i3e.

Ante este hecho, la compañía i3e recuerda los riesgos que supone tener una “acumulación de obsolescencia tecnológica”.
“No sólo ha fallado una pieza. Ha fallado todo el conjunto de seguridad. Pour cette raison, es importante tener al día toda la equipación a través de contratos de mantenimientos sólidos y contar con personal que, constantemente, être au courant des failles de sécurité, des vulnérabilités et des éléments qui doivent être changés ou modifiés”, conclut García.