Furto al Louvre: password “Louvre” e sistemi vecchi di vent’anni! Incredibili falle dietro al colpo del secolo

Un’inchiesta sul furto di gioielli al Louvre ha svelato vulnerabilità informatiche sconcertanti: il sistema di videosorveglianza era protetto da una password banale (“Louvre”), mentre i server di sicurezza utilizzavano sistemi operativi obsoleti come Windows 2000 e Windows Server 2003.
Michele Nasi
Pubblicato il 6 nov 2025
Furto al Louvre: password “Louvre” e sistemi vecchi di vent’anni! Incredibili falle dietro al colpo del secolo

Un furto di gioielli degno di un film d’azione, un museo simbolo dell’arte mondiale e una password tanto banale da sembrare una barzelletta. L’inchiesta sul clamoroso colpo avvenuto al Louvre, dove una banda di ladri ha fatto irruzione nella Galleria d’Apollon e sottratto antichi gioielli di inestimabile valore, ha portato alla luce un dettaglio sconcertante: il sistema di videosorveglianza del museo, per anni, è stato protetto con un mot de passe, come dicono i francesi, elementare: Louvre.

Sì, avete capito bene, la password di accesso al sistema di controllo video di uno dei musei più importanti al mondo era proprio Louvre. Si tratta di un errore macroscopico che mette ancora una volta in evidenza quanto spesso le basi della cybersecurity siano trascurate, persino in ambienti di rilevanza mondiale.

Password deboli e sicurezza assente: un problema culturale

Secondo quanto riportato da fonti ben informate sui fatti, le prime anomalie risalgono addirittura al 2014, quando l’Agence nationale de la sécurité des systèmes d’information (ANSSI), l’agenzia francese per la sicurezza informatica, aveva già evidenziato falle strutturali nel sistema IT del museo. Tra queste, la presenza di software di sicurezza obsoleti — alcuni risalenti a oltre vent’anni fa — e la possibilità di accedere facilmente alle aree superiori dell’edificio durante i lavori di manutenzione.

Che la password del sistema fosse Louvre non è soltanto una curiosità imbarazzante, ma il segno di una mancata cultura della sicurezza digitale: il classico esempio di “security by convenience” in cui la semplicità d’uso prevale sulla protezione.

In un’epoca in cui le infrastrutture critiche sono ormai universalmente considerate bersagli strategici, simili negligenze diventano veri e propri punti di vulnerabilità nazionale.

L’attacco: otto minuti con un’esecuzione impeccabile

Il furto si è svolto in maniera fulminea: alle 9:30 di una domenica mattina, durante l’orario di apertura, un piccolo camion dotato di scala meccanica si è fermato accanto al museo. Quattro individui armati di utensili elettrici hanno forzato l’accesso a una galleria del secondo piano, minacciato visitatori e personale e, in meno di quattro minuti, sono riusciti a fuggire con il bottino. L’intera operazione è durata otto minuti.

Cosa hanno rilevato gli audit

Abbiamo già detto che l’accesso a un server di gestione della videosorveglianza poteva essere ottenuto con credenziali del tipo Louvre o simili. Vari audit venuti a galla, segnalano anche l’effettivo utilizzo di password riferibili al nome del fornitore del software. Un’ulteriore conferma di una politica di gestione credenziali inesistente.

Gli audit sull’infrastruttura IT adoperata dal museo parigino hanno messo in evidenza anche l’utilizzo di sistemi operativi obsoleti sui server di sicurezza. Istanze di sistemi ancora in esecuzione vedono l’utilizzo di Windows 2000, Windows Server 2003 e Windows XP lato client. Sono tutti sistemi operativi ritirati da tempo da parte di Microsoft, che non ricevono più aggiornamenti di sicurezza e che sono quindi esposti a vulnerabilità sfruttabili da parte dei criminali informatici.

L’assenza di patch ufficiali estende in modo esponenziale la superficie d’attacco, considerando anche molte delle lacune di sicurezza scoperte e risolte nei sistemi Windows più recenti risultano sfruttabili per aggredire vecchie versioni come Windows 2000, Windows Server 2003 e Windows XP.

Il personale di ANSSI, nel corso degli audit, è inoltre riuscito a muoversi attraverso la rete locale da postazioni della rete “burocratica” o d’ufficio alla porzione di sicurezza del network del Louvre, essendo potenzialmente in grado di compromettere funzionalità sensibili come la videosorveglianza e i diritti dei badge. Ciò indica mancanza di separazione dei domini di rete e controllo dei privilegi. Non c’è di fatto alcun utilizzo di VLAN, con la relativa segmentazione della rete.

Dettagli tecnici sull’infrastruttura del Louvre

Le evidenze condivise pubblicamente non suggeriscono esattamente i dettagli su tutte le configurazioni e i dispositivi utilizzati presso il museo. Tuttavia, combinando gli elementi emersi è possibile ricostruire uno schema plausibile della topologia della rete e dei sui (tanti) punti deboli:

  • Server centralizzati per videosorveglianza e controllo accessi. Probabile presenza di uno o più server dedicati alla raccolta e gestione dei flussi video (VMS — Video Management System) e a una base dati dei badge e delle politiche di accesso. Se questi server si basano su sistemi operativi da tempo giunti alla fine del loro ciclo di vita o sfruttano credenziali deboli, diventano facili bersagli facili per gli attaccanti.
  • Software di gestione fornito da terzi. Alcuni report menzionano password riconducibili a fornitori; ciò indica l’uso di soluzioni chiuse fornite da integratori o vendor esterni. La gestione delle credenziali “di default” o condivise è un errore comune in questi scenari.
  • Network d’“ufficio” e network “di sicurezza” con confini sfumati. La possibilità di muoversi dalla rete d’ufficio al network di sorveglianza indica assenza di VLAN/zone filtrate, firewall perimetrali interni e regole di accesso (ACL) ben definite. Un aggressore informatico, una volta all’interno della rete, può muoversi lateralmente in maniera molto semplice.
  • Endpoint e periferiche legacy. Telecamere, NVR (Network Video Recorder) e dispositivi di controllo accessi spesso montano firmware non aggiornabili o proprietari; se non gestiti centralmente, introducono vulnerabilità difficili da risolvere mediante patch. La presenza di sistemi come Windows 2000 sui server di supporto peggiora ulteriormente il quadro e accresce i rischi.

Lezioni per il settore pubblico e culturale

L’episodio del Louvre evidenzia un problema più ampio: la mancata adozione di politiche di cybersecurity efficaci nelle istituzioni culturali e pubbliche. In molti musei, biblioteche e archivi, i sistemi di videosorveglianza, controllo accessi e gestione dati si basano ancora su tecnologie datate o non aggiornate.

Le misure minime dovrebbero includere:

  • Adozione di autenticazione multifattore (MFA).
  • Rotazione periodica delle password e utilizzo di password manager.
  • Aggiornamento costante dei software di sicurezza e dei sistemi operativi.
  • Formazione continua del personale su buone pratiche di sicurezza digitale.

Ti consigliamo anche

Intelligenza Artificiale e malware: il pericolo è davvero così grande?
Sicurezza

Intelligenza Artificiale e malware: il pericolo è davvero così grande?
Windows Update fa scattare BitLocker: perché potresti trovarti bloccato fuori dal tuo PC
Windows

Windows Update fa scattare BitLocker: perché potresti trovarti bloccato fuori dal tuo PC
Come leggere i nuovi nomi degli aggiornamenti in Windows Update (aggiornato)
Windows

Come leggere i nuovi nomi degli aggiornamenti in Windows Update (aggiornato)
Focus
Come funziona la verifica dell'età dal 12 novembre: l'abbiamo provata
Identità digitale

Come funziona la verifica dell'età dal 12 novembre: l'abbiamo provata
Link copiato negli appunti