O grupo CheckNews teve acesso a documentos de auditorias privadas que mostram graves problemas de segurança no Museu do Louvre, afetado por um assalto no dia 19. Há menções a programas desatualizados e até senhas fracas. O código para entrar no sistema de vigilância de vídeo do museu seria simplesmente “Louvre”.

Publicados no último sábado (1) pelo jornal Libération, os documentos seriam responsável pela mudança de discurso do governo, que até pouco negavam qualquer vulnerabilidade no roubo das joias da coroa. Agora, a ministra da cultura, Rachida Dati, admite que houve “falhas de segurança”.

De acordo com os relatórios, os problemas de segurança no Louvre existem há pelo menos uma década. O documento administrativo do Ministério da Cultura revela um quadro de obsolescência generalizada: oito softwares responsáveis por áreas críticas de segurança não recebem atualizações há anos.

Entre eles está o Sathi, programa desenvolvido pela Thales e adquirido em 2003 para supervisionar o circuito de câmeras e o controle de entrada. Um documento técnico de 2019 já indicava que o software havia deixado de ser mantido pela empresa. À reportagem, a Thales afirmou que não havia contrato de manutenção ativo e que o museu nunca entrou em contato para renová-lo.

Outro documento, datado de 2021, mostra que o Sathi ainda funcionava em um servidor com o sistema Windows Server 2003, descontinuado pela Microsoft desde 2015. Essa combinação de sistemas desatualizados e incompatíveis compromete não apenas a proteção das obras, mas também a segurança dos visitantes.

Especialistas em cibersegurança conseguiram acessar a rede de segurança do museu a partir de computadores comuns do sistema administrativo e, a partir daí, comprometer o sistema de videomonitoramento. Em outro teste, eles conseguiram alterar as permissões associadas a um crachá, invadindo o banco de dados de controle de acesso. O mais alarmante é que esses ataques poderiam ser realizados até mesmo por alguém fora das dependências do museu.

Além disso, a fragilidade das senhas usadas em alguns sistemas expôs o tamanho do descuido. Segundo a Agência Nacional de Segurança dos Sistemas de Informação (ANSSI), bastava digitar “LOUVRE” para entrar em um servidor responsável pelas câmeras, ou “THALES” (nome da própria empresa fornecedora) para acessar outro software.

Ladrões seriam ‘amadores’

Quatro suspeitos do roubo foram detidos pela polícia francesa. Segundo as autoridades, seus perfis indicam que eles seriam amadores e não especialistas em roubos de patrimônio.

“Não se trata exatamente de delinquência cotidiana, mas é um tipo de delinquência que geralmente não associamos aos escalões superiores do crime organizado”, declarou a promotora de Paris, Laure Beccuau, à rádio Franceinfo.