Un e-mail, un virement, 1,8 million d’euros évaporés. L’histoire de la façon dont les criminels numériques ont dépouillé le cœur culturel de Florence.
Nous sommes en août 2024. Fabrizio Lucchetti, directeur de l’Opera di Santa Maria del Fiore, supervise les travaux de restauration du Complexe Eugeniano, à quelques pas du Duomo. Un projet ambitieux, nécessaire, qui requiert un investissement considérable. L’Opera – l’ancienne institution fondée en 1296 qui, depuis sept siècles, préserve les joyaux architecturaux de Florence, de la Cathédrale au Campanile de Giotto, du Baptistère au Musée de l’Opera – a conclu un contrat avec une entreprise de construction pour un montant de 1,8 million d’euros. Tout se déroule selon les plans. Du moins en apparence.
Les e-mails s’enchaînent entre l’Opera et l’entreprise. Factures, coordonnées bancaires, instructions de paiement. Des communications apparemment légitimes, mais qui dissimulent une tromperie sophistiquée. Car ces e-mails, en réalité, sont interceptés. Dans le silence numérique, quelqu’un lit chaque message, étudie chaque détail, attend le moment propice pour frapper.
Lorsque vient le moment d’effectuer le virement, l’Opera reçoit les coordonnées du compte bancaire sur lequel transférer les fonds. Rien ne semble anormal. Le paiement est autorisé : 1 785 000 euros quittent les caisses de l’institution florentine. Mais cet argent n’arrivera jamais à l’entreprise créancière. Il a atterri sur un compte au nom d’un prête-nom de Brescia ayant des antécédents judiciaires, géré par une organisation criminelle qui a transformé le vol numérique en une industrie de 30 millions d’euros en seulement six mois.
Anatomie d’une tromperie parfaite
Celle subie par l’Opera di Santa Maria del Fiore est une arnaque connue sous le nom d’« attaque de l’homme du milieu » ou « compromission de messagerie professionnelle » (BEC), l’évolution moderne de la classique arnaque au faux président.
Le mécanisme est diaboliquement simple et efficace : les criminels s’insèrent dans les communications par e-mail entre deux parties légitimes – dans ce cas, l’Opera et ses fournisseurs – en interceptant les messages et en les modifiant au moment opportun.
L’enquête de la Brigade mobile de Brescia, lancée en mars 2025 après le dépôt de plainte de l’Opera, a révélé un système criminel articulé.
Au centre du mécanisme, deux frères italiens servaient d’intermédiaires, mettant en relation des entreprises ayant besoin d’accéder à des liquidités avec un réseau composé principalement de citoyens chinois, italiens, nigérians et albanais.
Un appartement à Milan, au nom d’une femme chinoise, servait de « centre de stockage d’argent liquide ». Les sociétés se multipliaient, les virements étaient détournés, l’argent était blanchi par le biais d’opérations fictives.
Le coup de filet a conduit à l’arrestation de neuf personnes et à la saisie de plus de 700 000 euros en espèces. Un dixième suspect demeure introuvable. Mais une grande partie de l’argent dérobé à l’Opera – environ 1,4 million sur les 1,8 million initiaux – reste dispersée dans les mailles d’un système criminel transnational.
De la Renaissance florentine au Louvre : quand la sécurité numérique échoue
L’arnaque à l’Opera di Santa Maria del Fiore n’est pas un cas isolé. Quelques mois plus tard et à quelques centaines de kilomètres, le musée le plus visité au monde a vécu sa propre débâcle de sécurité le 19 octobre dernier. Quatre hommes déguisés en ouvriers du bâtiment ont dérobé des joyaux de la Couronne française, d’une valeur de 88 millions d’euros, dans la Galerie d’Apollon du Louvre. Sept minutes d’action en plein jour, quatre minutes à l’intérieur du musée, et les voleurs ont disparu dans les rues de Paris sur deux scooters.
Alors que les autorités françaises tentaient désespérément de sauver la face, un détail embarrassant a émergé, transformant un audacieux cambriolage en une farce de cybersécurité. Le mot de passe pour accéder au système de vidéosurveillance du musée le plus prestigieux au monde était, tout simplement, « Louvre ». Pas une combinaison complexe, pas un système crypté. Juste le nom du musée.
Un audit de 2014 de l’agence française pour la sécurité informatique avait déjà signalé cette criticité. Le mot de passe était « banal », le logiciel obsolète, les systèmes inadéquats. Même le logiciel fourni par Thales était protégé par le mot de passe « Thales ». Pendant plus d’une décennie, ces vulnérabilités ont été ignorées tandis que le musée investissait 169 millions d’euros dans des acquisitions d’œuvres d’art et des rénovations scénographiques, contre seulement 87 millions en maintenance et sécurité. Seuls 39 % des galeries étaient couvertes par des caméras de surveillance.
Le parallèle entre Florence et Paris est inquiétant. Deux institutions culturelles de renommée mondiale, gardiennes de patrimoines inestimables, tombées victimes de vulnérabilités numériques qui auraient pu être évitées. Dans le cas du Louvre, des mots de passe ridiculement simples et des systèmes obsolètes. Dans le cas de l’Opera de Florence, des communications par e-mail non protégées et des procédures de vérification inadéquates.
La tromperie circule sur des réseaux invisibles
L’arnaque BEC est devenue l’un des outils les plus lucratifs de la cybercriminalité mondiale.
Selon le FBI, entre 2016 et 2024, ce type de fraude a causé des pertes de plus de 50 milliards de dollars à l’échelle mondiale. Les victimes sont des entreprises de toutes tailles, des organismes publics, des organisations à but non lucratif. Même les institutions culturelles, traditionnellement moins attentives à la cybersécurité, paient un prix de plus en plus élevé.
Le mécanisme est insidieux car il exploite la confiance. Nul besoin de pirater des systèmes complexes ou d’écrire du code sophistiqué. Il suffit d’intercepter les communications – souvent par le biais d’hameçonnage ciblé ou de compromission de comptes de messagerie – d’observer les flux de paiement, d’attendre le moment opportun et d’insérer de fausses coordonnées bancaires. Les e-mails semblent authentiques car ils le sont souvent : ils proviennent des comptes légitimes des interlocuteurs, compromis sans que les victimes en soient conscientes.
Dans le cas de l’Opera de Florence, les criminels ont fait preuve d’une patience méticuleuse. Ils ont étudié les projets, compris les procédures, intercepté les communications. Ce n’est que lorsque le moment était venu – lorsqu’un virement important était sur le point d’être autorisé – qu’ils ont substitué les coordonnées bancaires par celles du compte contrôlé par l’organisation. Une opération chirurgicale, invisible jusqu’au moment où il était trop tard.
Le maillon faible : le facteur humain
La directrice du Louvre, Laurence des Cars, après le vol, a admis candidement les « faiblesses » dans la sécurité périmétrique du musée. Mais la véritable faiblesse, tant à Paris qu’à Florence, a été l’approche superficielle de la sécurité numérique. Il ne suffit pas d’avoir des caméras si le mot de passe pour y accéder est « Louvre ». Il ne suffit pas d’avoir des procédures de paiement si l’on ne vérifie pas les coordonnées bancaires par des canaux alternatifs à l’e-mail.
Le problème est culturel avant d’être technologique. Trop d’organisations, surtout dans le secteur culturel et public, considèrent la cybersécurité comme un coût fastidieux plutôt qu’un investissement nécessaire. La formation du personnel est négligée. Les procédures de vérification sont considérées comme bureaucratiques et ralenties. Les budgets pour la sécurité informatique sont sacrifiés au profit de projets plus « visibles ».
Pourtant, comme le démontrent les cas de Florence et de Paris, les conséquences de cette négligence peuvent être dévastatrices. Non seulement financièrement – l’Opera a perdu près de deux millions d’euros, le Louvre des joyaux inestimables – mais aussi en termes de réputation et de crédibilité. Le préjudice à l’image est incalculable.
La réponse : une posture numérique consciente
Après la découverte de l’arnaque, l’Opera di Santa Maria del Fiore a immédiatement déposé plainte, collaborant activement avec les autorités. La rapidité a permis de lancer une enquête qui a conduit à l’arrestation de neuf personnes et à la récupération partielle des fonds. Mais la leçon est claire : la réaction post-incident ne suffit pas. Il faut de la prévention.
Les organisations doivent adopter des protocoles de vérification stricts pour chaque transaction financière. Confirmer les coordonnées bancaires par plusieurs canaux – pas seulement par e-mail, mais aussi par des appels téléphoniques à des numéros déjà connus, des messages sur des plateformes alternatives. Mettre en œuvre l’authentification multifacteur pour tous les comptes de messagerie et les systèmes sensibles. Utiliser des mots de passe complexes, les changer régulièrement, ne jamais utiliser de termes évidents ou prévisibles.
Mais surtout, il faut de la formation. Le personnel doit être formé à reconnaître les signes d’une éventuelle arnaque : des e-mails qui exigent de l’urgence, des demandes de changement de coordonnées bancaires, des communications qui semblent légitimes mais contiennent des anomalies subtiles. La vigilance doit devenir une seconde nature.
Investir dans la culture numérique
Les cas de Florence et du Louvre démontrent qu’aucune institution, aussi prestigieuse soit-elle, n’est à l’abri des menaces numériques. Les criminels ne font pas de distinction entre multinationales et musées, entre banques et fondations culturelles. Au contraire, les organisations culturelles sont souvent des cibles plus faciles précisément parce qu’elles sont moins équipées pour se défendre.
La sécurité numérique n’est plus une option.
C’est une nécessité fondamentale au même titre que l’assurance contre les incendies ou les systèmes d’alarme physiques. Elle requiert des investissements, certes, mais le coût d’un système de sécurité informatique robuste est infiniment inférieur au préjudice potentiel d’une violation.
Et elle requiert un changement de mentalité.. La cybersécurité ne peut être reléguée à un service informatique isolé.. Elle doit imprégner l’ensemble de l’organisation, de la direction aux employés opérationnels. Chaque personne qui utilise un ordinateur, qui gère des e-mails, qui autorise des paiements, est potentiellement la première ligne de défense – ou le premier maillon faible.
L’Opera di Santa Maria del Fiore, gardienne de chefs-d’œuvre de la Renaissance, et le Louvre, temple de l’art mondial, ont payé un prix élevé pour cette leçon. Mais leur expérience peut servir d’avertissement. Dans un monde de plus en plus numérisé, où les transactions circulent sur des réseaux invisibles et où les criminels opèrent au-delà de toute frontière, la formation numérique reste la meilleure défense contre des attaques toujours plus répandues et sophistiquées.
Car au final, qu’il s’agisse de mots de passe ridiculement simples ou d’e-mails interceptés, la vulnérabilité la plus grande reste toujours la même : la confiance non vérifiée. Et à une époque où la tromperie numérique est devenue une industrie de plusieurs milliards, vérifier est devenu vital pour la survie même des organisations.
