Система безопасности Лувра
19 октября 2025 года в Лувре произошло ограбление в светлое время суток. (Димитар Милкоф/AFP)
В издании Libération (paywall) любопытная статья об аудите системы безопасности Лувра.
Сразу после ограбления, министр культуры Рашида Дати неоднократно повторяла, что, мол, "Системы безопасности музея не подвели", однако десять дней спустя на сенатских слушаньях она признала, что там были пробелы в безопасности, и что они намерены "пролить свет на сбои, упущения и ответственность".
Подразделение CheckNews издания Libération внимательно изучило конфиденциальные документы и документы, опубликованные в рамках тендеров, что позволило составить длинный список серьезных уязвимостей в кибербезопасности Лувра, о которых музей был предупрежден, но которые не все были устранены.
И выяснились там прям совсем интересные вещи.
Аудит 2014 года
По запросу музея Национальное агентство по безопасности информационных систем (Anssi) протестировало сеть безопасности.
Экспертам с легкостью удалось проникнуть в сеть безопасности с рабочих станций офисной сети. При этом они могли нанести ущерб системе видеонаблюдений, поменять виды доступов для различных сотрудников.
Сотрудники агентства были в некотором шоке от того, что паролем для доступа к серверу, управляющему видеонаблюдением музея было слово "LOUVRE", а пароль на доступ к одному из программных продуктов для видеонаблюдения, выпущенных фирмой Thalès, было слово... "THALES".
Также они отметили использование устаревшей системы Windows 2000.
Аудит 2017 года
То же агентство проводило аудит. И снова обнаружило серьезные недостатки, причем некоторые из них с 2014 года так и не были исправлены. Устаревшие операционные системы, редкое обновление паролей, неустойчивые пароли и так далее.
Также использовалось программное обеспечение - например, система Sathi и другие, - которое сам производитель давно перестал поддерживать. Многие приложения видеонаблюдений работали на компьютерах с Windows Server 2003, а эту операционную систему Microsoft не поддерживает с... 2015 года.
Ну и в документах отмечается, что руководство Лувра было полностью осведомлено о серьезных проблемах с безопасностью как систем видеонаблюдения, так и других систем, касающихся управления потоками посетителей, безопасности крыш во время проведения работ, но, похоже, это все игнорировало.
В издании пытались получить комментарии по этому поводу от руководства музея, но те отказались ответить на вопросы издания.
Пароль "Лувр" для доступа к серверу всего видеонаблюдения Лувра - это красиво. Это прям пять баллов. Человек ответственный выбрал в качестве пароля хотя бы "Лувр123".
