Assalto ao Louvre: ‘passwords’ fracas, sistemas operativos desatualizados e apenas cinco câmaras nas fachadas revelam uma tragédia anunciada

As falhas de segurança que permitiram que o Museu do Louvre fosse assaltado em plena luz do dia, a 19 de outubro, não param de se multiplicar. Sabe-se agora que também o sistema de videovigilância do museu apresentava fragilidades, expostas ao longo de anos em documentos confidenciais, como auditorias de segurança, e avisos de concursos, consultados pelo jornal francês “Libèration”.

Um dos documentos analisados refere-se a uma auditoria aos sistemas informáticos, realizada pela Agência Nacional Francesa de Cibersegurança, em meados de dezembro de 2014. A Agência foi encarregue também de testar a rede de segurança do museu, à qual estavam ligados os equipamentos de proteção e deteção mais críticos, como o controlo de acessos, os alarmes e a videovigilância. O exercício revelou “Inúmeras vulnerabilidades”.

Durante o teste, os especialistas em cibersegurança conseguiram infiltrar-se na rede com surpreendente facilidade, a partir do exterior do museu. Os técnicos conseguiram entrar no sistema e criar condições ideais para “danificar o sistema de videovigilância, comprometendo servidores desatualizados” e “alterar as permissões concedidas a um crachá”, por exemplo.

O “Libération” revela que o Louvre esteve vulnerável a ataques potencialmente realizados por um invasor localizado no exterior do museu, “principalmente devido à fragilidade de certas passwords”. Para aceder a um servidor que gere o sistema de videovigilância do museu, bastava digitar a palavra… “LOUVRE”. Outra palavra-passe usada era “THALES” para aceder a um software produzido pela empresa… Thales.

Entrada da Pirâmide do Louvre, em Paris

NurPhoto / Getty Images

Segundo o jornal francês, os documentos consultados revelaram “um longo historial de grandes vulnerabilidades de cibersegurança no Louvre, para as quais o museu tinha sido alertado, mas que nem todas foram corrigidas”.

Uma nova auditoria concluída em 2017, da responsabilidade do Instituto Nacional de Estudos Avançados em Segurança e Justiça, constatou o mesmo cenário degradado. “Foram observadas grandes deficiências no sistema como um todo”, algumas delas semelhantes às identificadas na avaliação anterior.

Embora o museu “tenha sido relativamente poupado até agora, já não pode ignorar a potencial ameaça de um ataque com consequências potencialmente dramáticas”, alertava o documento.

O rol de vulnerabilidades denunciadas pelas análises ao estado e ao funcionamento do Louvre passa também por formação insuficiente da equipa de segurança ou por aspetos tão quotidianos como uma má gestão do fluxo de visitantes e a facilidade de acesso ao interior do museu pelo telhado durante a realização de obras.

A auditoria alertou também para o facto de a rede de escritórios do Louvre utilizar sistemas operativos desatualizados, como o Windows 2000 e Windows XP, “sem atualizações de antivírus, sem palavras-passe ou bloqueios de sessão”. Ao estilo de quem lidava com utilizadores inexperientes, recomendava-se a troca de palavras-passe com mais frequência.

O museu mais procurado do mundo — 8,7 milhões de visitantes em 2024 — tem estado ao alcance de amadores. Segundo o “Libèration“, as fachadas deste gigante de betão, que se estendem ao longo de 1,3 quilómetros, têm estado vigiadas por apenas cinco câmaras de vigilância.