Paris, 19 octobre 2025.
C’est aux premières heures d’un dimanche matin que quatre silhouettes encapuchonnées, vêtues de gilets jaunes d’ouvriers, montent sur un monte-charge appuyé contre la façade du musée le plus célèbre au monde. En sept minutes chronométrées, ils forcent une fenêtre de la Galerie d’Apollon avec une scie circulaire, brisent les vitrines et s’emparent de huit joyaux de la Couronne française, dont le collier et la broche de Napoléon et le diadème de Joséphine Bonaparte.
Valeur du butin : 88 millions d’euros. Puis ils disparaissent dans la circulation parisienne à bord de deux scooters.
Ce qui aurait pu sembler être le coup parfait organisé par des criminels raffinés s’est avéré être un braquage perpétré par des petits voleurs de banlieue, déjà connus de la police pour des larcins mineurs.
Comment ont-ils pu pénétrer dans la forteresse du Louvre avec une telle facilité ? La réponse ne réside pas dans leurs compétences, mais dans les failles de sécurité flagrantes d’une institution qui abrite des trésors inestimables.
Le secret le plus embarrassant : le mot de passe était « Louvre »
Lorsque l’enquête judiciaire a commencé à creuser dans la dynamique du vol, un détail est apparu qui a laissé sans voix les enquêteurs, les experts en sécurité et l’opinion publique française.
Selon des documents confidentiels obtenus par le quotidien Libération, pour accéder au serveur de vidéosurveillance du Louvre, il suffisait de saisir un mot de passe aussi banal qu’embarrassant : « Louvre ». Exactement, le nom du musée lui-même.
Ce n’est pas tout. Un autre système de sécurité utilisait comme identifiant « Thales », simplement le nom de l’entreprise fournissant le logiciel. Comme si un citoyen protégeait sa banque en ligne avec le mot de passe « 123456 » ou, pire encore, avec le nom de la banque elle-même.
La procureure en chef de Paris, Laure Beccuau, a confirmé que les suspects arrêtés sont « des criminels de bas niveau dont les profils ne correspondent pas à ceux généralement associés aux sommets du crime organisé ». En d’autres termes : il n’était pas nécessaire d’avoir des hackers sophistiqués ou des organisations internationales pour violer les systèmes du Louvre. Le mot de passe le plus évident au monde suffisait.
Vingt ans d’alertes ignorées
Les vulnérabilités du Louvre n’étaient pas un secret. Déjà en décembre 2014, trois experts de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) avaient mené un audit interne demandé par le musée.
Les experts, en analysant le « réseau de sûreté » – le réseau qui relie les dispositifs les plus sensibles – caméras, alarmes, contrôle d’accès – ont constaté que les applications et les systèmes installés présentaient de nombreuses vulnérabilités. Au cours du test, ils ont réussi à accéder au système à partir d’un simple ordinateur du réseau interne et, de là, aux serveurs de vidéosurveillance et aux bases de données des badges.
À la fin de l’audit, l’ANSSI recommandait d’introduire des mots de passe complexes, de migrer les systèmes obsolètes et de corriger les vulnérabilités connues.
Un deuxième audit, mené de 2015 à 2017 par l’INHESJ (Institut National des Hautes Études de la Sécurité et de la Justice), confirmait et amplifiait les problèmes déjà connus. Le document dénonçait « la
persistance des mêmes vulnérabilités : systèmes informatiques obsolètes, mots de passe prévisibles et lacunes dans les procédures de mise à jour ». Et avertissait : « Le musée ne peut plus ignorer qu’il pourrait être victime d’une attaque dont les conséquences seraient dramatiques ».
Pourtant, malgré ces avertissements officiels, rien n’a changé.
Informatique et vidéosurveillance de musée
Les enquêtes ont également révélé que plusieurs serveurs de sécurité fonctionnaient encore sous Windows 2000 et Windows Server 2003, des systèmes d’exploitation que Microsoft a cessé de prendre en charge respectivement en 2010 et 2015. Certains postes utilisaient même
Huit programmes critiques pour la sécurité du musée étaient « non actualisables », y compris Sathi, le logiciel de supervision de la vidéosurveillance acheté en 2003 à Thales. Des systèmes vieux de plus de vingt ans, pratiquement des fossiles à l’ère numérique.
Cela se traduit par un manque de mises à jour de sécurité, aucune correction des vulnérabilités, des antivirus obsolètes et inefficaces. Un peu comme laisser les clés de la maison sous le paillasson.
Sans parler du système de vidéosurveillance qui s’est avéré être un véritable patchwork technologique stratifié au fil du temps. Comme l’a expliqué le chef de la police de Paris, Patrice Faure, lors d’une audition au Sénat, de larges parties du système sont encore analogiques et produisent des images de basse qualité, difficiles à analyser et lentes à transmettre en temps réel.
De plus, selon un rapport de la Cour des comptes française, de nombreuses salles du musée étaient complètement dépourvues de caméras. Cela explique pourquoi les voleurs ont pu agir presque sans être dérangés. À tel point que le premier signalement à la police n’est même pas venu des systèmes de sécurité internes, mais d’un cycliste qui se trouvait dans la rue et qui s’est méfié en voyant une personne avec un gilet réfléchissant sur un monte-charge adossé à la façade du musée un dimanche matin.
Une gouvernance inadéquate et une culture de la sécurité inexistante
La ministre de la Culture, Rachida Dati, a dû admettre publiquement l’évidence : « Une sous-estimation chronique et structurelle du risque de vols ». Les conclusions de l’enquête préliminaire de l’inspection du ministère de la Culture sont claires : « Failles dans la sécurité » et une « sous-estimation structurelle des risques liés au vol d’œuvres d’art » vieille de vingt ans.
Le problème n’est pas seulement technique, mais culturel et organisationnel. Le Louvre a jusqu’à présent traité la sécurité informatique comme une dépense accessoire, une formalité bureaucratique, plutôt que comme un investissement stratégique pour protéger un patrimoine inestimable. La maintenance a été fragmentaire, les mises à jour incomplètes, les protocoles obsolètes. Une gouvernance inefficace où la responsabilité est diluée entre le personnel interne et les fournisseurs externes, sans une chaîne de commandement claire.
Un problème qui va au-delà du Louvre
Mais il ne s’agit pas d’un cas unique, car le problème affecte de nombreuses institutions culturelles et publiques dans le monde entier. Musées, bibliothèques, archives : trop souvent, les systèmes de sécurité physique et numérique reposent sur des technologies datées, non mises à jour, gérées avec superficialité.
Selon le rapport NordPass 2024, le mot de passe le plus utilisé en Italie est encore « 123456 » pour accéder aux données sensibles des clients, des employés ou des citoyens. Les contextes et les institutions changent, mais la superficialité reste identique. Comme l’a souligné une étude récente, seules 49 % des entreprises ayant subi une attaque informatique décident ensuite d’investir dans la cybersécurité.
Une donnée qui reflète une mentalité encore trop réactive plutôt que préventive et une formation en sécurité informatique encore dramatiquement insuffisante.
Trop souvent, on pense qu’il suffit d’installer un antivirus ou un pare-feu pour être protégé, ignorant que la sécurité est un processus continu de connaissance qui nécessite des compétences, des mises à jour constantes, des procédures rigoureuses et, surtout, une prise de conscience partagée à tous les niveaux de l’organisation et qui se construit dans le temps à travers des parcours de formation à la hauteur du défi que cette période historique nous pose.
