O recente assalto ao Museu do Louvre, ocorrido no passado dia 19, está a ganhar contornos de negligência grave. Documentos de auditorias privadas, revelados pelo jornal Libération, expõem um cenário de displicência informática que parece quase inacreditável. A palavra-passe para aceder ao sistema de videovigilância do museu mais famoso do mundo era, simplesmente, "Louvre". E este é apenas o início dos problemas.
Os relatórios indicam que as falhas de segurança no Louvre são um problema crónico, com mais de uma década. O Ministério da Cultura francês, que inicialmente negou vulnerabilidades após o roubo das joias da coroa, admite agora "falhas de segurança" pela voz da ministra Rachida Dati. A auditoria detalha uma obsolescência gritante: oito programas críticos de segurança não recebem atualizações há anos.
Um museu parado no tempo
O caso mais flagrante é o Sathi, o software de supervisão das câmaras e controlo de entradas, adquirido à Thales em 2003. Um documento de 2019 já alertava que o programa tinha sido descontinuado pela empresa. A Thales confirmou ao Libération que não existia qualquer contrato de manutenção ativo, nem o museu alguma vez tentou renová-lo.
Para piorar o cenário, um relatório de 2021 mostrava que o Sathi ainda corria num servidor com Windows Server 2003. Este sistema operativo foi descontinuado pela Microsoft em 2015, deixando o Louvre exposto a todo o tipo de vulnerabilidade conhecida.
Rede aberta e palavras-passe de rir
A auditoria não se ficou pelo software. Testes de cibersegurança revelaram que era possível aceder à rede de segurança do museu a partir de computadores normais da área administrativa. A partir daí, foi possível comprometer o sistema de videovigilância e até alterar permissões em cartões de acesso, manipulando a base de dados. Mais alarmante: os ataques podiam ser realizados remotamente, fora das instalações.
A fragilidade das palavras-passe expõe o descuido total. Segundo a Agência Nacional de Segurança dos Sistemas de Informação (ANSSI) de França, bastava escrever "LOUVRE" para aceder a um servidor das câmaras. Noutro sistema, a palavra-passe era "THALES", o nome da própria empresa fornecedora.
Roubo feito por "amadores"
A polícia francesa já deteve quatro suspeitos do roubo. O mais irónico é que, segundo as autoridades, os perfis não indicam especialistas em roubos de património, mas sim "amadores".
Laure Beccuau, promotora de Paris, declarou à rádio Franceinfo que, embora não seja delinquência comum, "é um tipo de delinquência que geralmente não associamos aos escalões superiores do crime organizado". Com uma segurança informática tão frágil, talvez não precisassem de ser.
Nenhum comentário
Seja o primeiro!