W zeszłym miesiącu karykaturalny napad na biżuterię w Luwrze odsłonił nowe, stare ciekawostki dotyczące bezpieczeństwa, które wprawiłyby w osłupienie każdego personelu IT. Przez pewien czas hasło do systemu monitoringu muzeum brzmiało „Luwr”. Z dochodzenia przeprowadzonego przez francuską gazetę wynika, że Oswobodzenie uzyskali poufne dokumenty wskazujące, że w 2014 r. nazwa muzeum została przypisana do serwera nadzoru, a oprogramowanie dostarczone przez firmę technologiczną Thales używało składającego się z jednego słowa hasła „THALES”. Dochodzenie ujawniło również, że w 2025 r. muzeum nadal posiadało sieć biurową z systemem Windows 2000, długo po tym, jak system operacyjny przestał otrzymywać aktualizacje antywirusowe.
Coroczne audyty bezpieczeństwa przeprowadzane w ostatnich latach również wykazały utrzymujące się problemy. Na przykład w jednym z 2017 r. stwierdzono, że ryzyka ataku „z potencjalnie dramatycznymi konsekwencjami” nie można już lekceważyć jako hipotetycznego. Od ponad dekady pojawiały się sygnały ostrzegawcze dotyczące luk w bezpieczeństwie cyfrowym Luwru, zarówno ze strony krytyków przestarzałego oprogramowania, jak i luk fizycznych, takich jak możliwość wspięcia się na dach budynku w trakcie budowy. Nie jest jeszcze jasne, czy skontrolowane hasła i inne luki w zabezpieczeniach zostaną naprawione do 2025 r.
Do napadu doszło w niedzielę 19 października 2025 roku o godzinie 09:30 w godzinach porannych. Czterech podejrzanych, którzy przybyli małym pojazdem użytkowym z mechaniczną drabiną, wspięło się na balkon na pierwszym piętrze prowadzącym do Galerie d’Apollo, rozcięło gabloty elektronarzędziami i uciekło z dziewięcioma XIX-wiecznymi francuskimi klejnotami koronnymi. Jedna korona, należąca do cesarzowej Eugenii, została zrzucona, ale w sumie brakuje ośmiu przedmiotów, każdy wart miliony euro. Cały napad trwał około ośmiu minut. Według dyrektora muzeum pojedyncza kamera skierowana na zewnątrz, obejmująca galerię, została w momencie naruszenia skierowana w złym kierunku.
Reakcja na informację o haśle była szybka i krytyczna. Użytkownicy mediów społecznościowych ostro skrytykowali pomysł, jakoby jedna z najczęściej odwiedzanych instytucji na świecie korzystała z systemu nadzoru wideo chronionego danymi uwierzytelniającymi tylko nieznacznie lepszymi niż „hasło”. Niektórzy obserwatorzy zwrócili uwagę, że nawet pracownikom muzeów trudno jest poprawnie zapisać nazwę muzeum, inni natomiast zastanawiali się, czy pracownicy niewykonawczy w wielu firmach mają bardziej rygorystyczne zasady dotyczące haseł niż muzeum chroniące dzieła sztuki warte dziesiątki milionów. Doniesienia te zainspirowały także liczne memy i przemyślenia na temat tego, że Luwr można zaliczyć do tej samej kategorii, co zakurzone maszyny w piwnicach biur, na których działa oprogramowanie sprzed kilkudziesięciu lat, ponieważ „nadal działa. Badacze bezpieczeństwa zauważyli, że słabe hasła lub ponowne używanie tego samego hasła w różnych systemach to jeden z najłatwiejszych sposobów, w jakie osoby atakujące mogą złamać zabezpieczenia systemu. Doświadczenie Luwru pokazuje, jak organizacje mogą zapomnieć o starych urządzeniach, starym oprogramowaniu i domyślnych danych uwierzytelniających, co sprawia, że ryzyko to utrzymuje się przez lata.
Gdy śledczy próbują odzyskać skradzione klejnoty i postawić zarzuty czterem podejrzanym, cyfrowy element tej historii sam w sobie jest źródłem wstydu. Muzeum stwierdziło, że jego systemy nie zawiodły podczas incydentu w 2025 r., ale audyty potwierdzają jedno… przez wiele lat kluczowe elementy stanu bezpieczeństwa Luwru zależały od haseł, których uczono studentów pierwszego roku cyberbezpieczeństwa.
