Senha fraca compromete sistema de vigilância do Louvre

O grupo CheckNews obteve documentos de auditorias confidenciais que revelam sérias falhas na segurança do Museu do Louvre, alvo de um assalto em 19 de junho.

Entre os problemas estão softwares desatualizados e senhas demasiadamente simples.

O código de acesso ao sistema de monitoramento por vídeo do museu era apenas “Louvre”.

Divulgados no último sábado (1) pelo jornal Libération, esses documentos motivaram uma mudança na postura do governo, que anteriormente negava qualquer vulnerabilidade relacionada ao furto das joias da coroa.

Agora, a ministra da cultura, Rachida Dati, reconhece que ocorreram “falhas de segurança”.

Conforme as auditorias, as deficiências na segurança do Louvre persistem há pelo menos dez anos. O relatório do Ministério da Cultura expõe uma situação crítica de obsolescência: oito softwares essenciais na segurança não recebem atualizações há muitos anos.

Dentre eles está o Sathi, sistema desenvolvido pela Thales e adquirido em 2003 para gerenciar as câmeras e o controle de acesso. Um relatório técnico de 2019 já indicava a falta de suporte pela empresa.

A Thales declarou que não existe contrato de manutenção vigente e que o museu não buscou renová-lo.

Sistema operacional ultrapassado

Outro documento, de 2021, aponta que o Sathi operava num servidor com Windows Server 2003, sistema descontinuado pela Microsoft em 2015. A junção de tecnologias antigas fragiliza tanto a proteção das obras quanto a segurança dos visitantes.

Especialistas em segurança cibernética conseguiram acessar a rede do museu via terminais do sistema administrativo e, a partir daí, invadir o sistema de câmeras. Em outro teste, conseguiram modificar permissões de acesso usando crachás, comprometendo assim o banco de dados de controle. O mais preocupante é que essas invasões poderiam ser feitas até mesmo remotamente, sem estar fisicamente presente no museu.

Além disso, a simplicidade das senhas usadas em alguns sistemas evidencia a negligência: bastava digitar “LOUVRE” para acessar um servidor das câmeras ou “THALES” para outro software.

Suspeitos têm perfil inexperiente

Quatro indivíduos foram presos pela polícia francesa, e suas características indicam que são inexperientes e não profissionais em crimes contra patrimônios.

“Este não é um tipo comum de criminalidade, e não costuma estar ligado às camadas superiores do crime organizado”, explicou a promotora de Paris, Laure Beccuau, em entrevista à rádio Franceinfo.