Пароль: «LOUVRE», расследование раскрывает необычные уязвимости в системе безопасности музея

Пока полиция продолжает поиски украденных из Лувра драгоценностей, газета Libération публикует отчет, в котором указывается на устаревшую и уязвимую систему охраны. Легко угадываемые пароли, устаревшее программное обеспечение — пробелы в безопасности самого посещаемого музея в мире уже подвергались сомнению в ходе различных проверок. Сначала министр культуры Франции Рашида Дати заверила, что «системы безопасности музея не подвели» 19 октября, когда четверо мужчин на грузовом лифте проникли в Лувр средь бела дня и за считанные минуты похитили драгоценности французской короны на сумму около 102 миллионов долларов. Сегодня, когда добыча по-прежнему не найдена, а задержанные по-прежнему не раскрывают ее местонахождение, Дати признала перед Сенатом, что «проблемы с безопасностью действительно существовали» и что принимаются срочные меры для усиления охраны музея. Возможно, им следует начать с компьютерной системы, судя по результатам расследования, опубликованным французской газетой Libération, которая проанализировала несколько аудиторских проверок, показывающих, что Лувр знал о пробелах в безопасности, но во многих случаях не устранял их. Всем известно, что при выборе пароля не следует использовать простые коды, такие как 1234, свое имя или «пароль». Однако для доступа к серверу, который управлял камерами наблюдения в Лувре, достаточно было ввести «LOUVRE». Об этом в 2014 году обнаружило Национальное агентство по безопасности информационных систем (Anssi) после проведения аудита компьютерных систем и, в частности, тестирования сети безопасности. Экспертам достаточно было попробовать несколько очевидных паролей, чтобы получить доступ к «наиболее важным средствам защиты и обнаружения музея, таким как контроль доступа, сигнализация и видеонаблюдение». Преступник, «удавшийся захватить контроль, мог бы способствовать повреждению или даже краже произведений искусства», предупредили они. Среди прочего, эта уязвимость позволяла «изменять права, предоставленные карте доступа, путем взлома базы данных, используемой системой контроля доступа с помощью карт». Еще одна обнаруженная уязвимость: «компьютерная сеть музея Лувр включает в себя некоторые устаревшие системы (Windows 2000)», отметило агентство. Поэтому Anssi предложила Лувру создать более сложные пароли, исправить уязвимости приложений и провести «миграцию устаревших систем на версии, поддерживаемые издателем [программного обеспечения]». Что сделал Лувр для своей защиты? «Музей не захотел отвечать, но более поздние документы показывают, что было необходимо продолжать поддержку Anssi», сообщает Libération. Второй аудит, завершенный в 2017 году, также классифицированный как «конфиденциальный», сожалел о том, что «были обнаружены серьезные недостатки в общей системе», аналогичные тем, которые были отмечены тремя годами ранее. Хотя музей «до сих пор относительно избежал проблем, он больше не может игнорировать тот факт, что может стать объектом атаки, последствия которой могут быть драматическими», — предупреждает документ, с которым ознакомилась французская газета. К этому добавляется тот факт, что компьютеризированная система безопасности Sathi, приобретенная у компании Thalès, не обслуживалась. «В техническом документе по тендеру, датированном летом 2025 года, это программное обеспечение фигурирует в удивительном списке «программного обеспечения, которое нельзя обновлять». В случае Sathi это касается не менее восьми программ, которые управляют видеонаблюдением, контролем доступа, серверами...», отмечает Libération. К устаревшим программам, таким как Windows XP или Windows 2000, устаревшим антивирусам, добавляются рабочие места без паролей и выхода из системы. Помимо информационных технологий, в 40-страничном отчете аудита представлены рекомендации по обучению персонала службы безопасности, решению проблем неэффективного управления потоком посетителей и обеспечению безопасности крыш, «доступных во время ремонтных работ»... Какие уязвимости были использованы ворами для совершения кражи? Пока что четверо задержанных не особо разговорчивы.