Le musée du Louvre utilisait le mot de passe « Louvre » pour protéger son serveur de vidéosurveillance, selon des documents confidentiels issus d’un audit de sécurité de 2014 révélés lundi par le quotidien français Libération. Cette faille de cybersécurité critique, découverte il y a plus de dix ans par l’agence française ANSSI, était restée confidentielle jusqu’à présent, alors que le musée parisien mondialement célèbre est sous le feu des projecteurs à la suite d’un cambriolage survenu en octobre 2025.
La révélation intervient alors que le musée fait l’objet d’un examen approfondi de ses pratiques de sécurité après un cambriolage en octobre 2025. Selon l’article de Libération, qui cite des documents confidentiels de l’audit datant d’une décennie, accéder aux flux de surveillance du musée n’exigeait rien de plus que de taper le nom même de l’institution dans le champ du mot de passe.
20 Minutes a confirmé l’information, indiquant qu’en 2014 « il suffisait de taper “Louvre” pour accéder au serveur gérant la vidéosurveillance du musée le plus célèbre de France ». Des médias internationaux, dont PCGamer, ont relayé l’histoire, l’un notant que l’incident rend « l’opsec de niveau poubelle des PNJ de jeux vidéo beaucoup moins absurde ».
La faille a été constatée lors d’un audit de décembre 2014 commandé par le musée lui-même, au cours duquel des experts de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ont mis au jour la vulnérabilité. Ce constat est resté sous le sceau du secret pendant plus de dix ans jusqu’à ce que l’enquête de Libération le révèle, dans le cadre d’un reportage plus large sur les faiblesses de cybersécurité du musée.
Conséquences juridiques et en matière de protection des données
Cette défaillance de mot de passe n’est pas un simple embarras — elle pourrait constituer une violation des lois européennes sur la protection des données. Au titre du RGPD, les images de vidéosurveillance constituent des données à caractère personnel puisqu’elles enregistrent des personnes identifiables, y compris des millions de visiteurs annuels et les employés du musée.
Des experts en sécurité soulignent que l’utilisation d’un mot de passe aussi simple contrevient à l’article 32 du RGPD, qui impose des « mesures techniques et organisationnelles appropriées » pour la protection des données. L’autorité française de protection des données, la CNIL, peut infliger des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial en cas de manquement. Elle a démontré son pouvoir de sanction en janvier 2024 en infligeant à Amazon France Logistique une amende de 32 millions d’euros pour des violations comprenant des contrôles d’accès insuffisants sur des systèmes de vidéosurveillance.
Bien que des sources confirment qu’aucun élément ne prouve que des attaquants aient exploité cette vulnérabilité pour accéder aux images de surveillance ou les diffuser, la simple existence d’une telle faille au sein de l’une des plus grandes institutions culturelles du monde pose de sérieuses questions sur les pratiques institutionnelles de cybersécurité.
Des mesures de sécurité élémentaires qui auraient pu éviter cet incident incluraient l’adoption de mots de passe complexes sans lien avec le nom de l’organisation, la mise en place de l’authentification multifacteur et la réalisation d’audits de sécurité indépendants réguliers. Les systèmes critiques comme la vidéosurveillance devraient également être isolés sur des segments réseau distincts, inaccessibles depuis le Wi‑Fi public ou des postes de travail non essentiels.
