罗浮宫展厅阿波罗长廊。 (翻摄自罗浮宫官方社群帐号X/@MuseeLouvre)
法国媒体《解放报》(Libération)揭露,罗浮宫(Louvre)多年来的资安问题简直无可救药,监控室伺服器密码竟然就是「Louvre」,门禁系统到现在还在用Windows Server 2003,而且已经23年没更新,显示这座全球最著名博物馆的安全漏洞百出,而且未获改善。
根据内部稽核报告与招标文件,早在2014年,法国国家资讯系统安全局(ANSSI)受罗浮宫委托进行资安检测时,便发现严重问题。专家竟能轻易入侵馆内网路,只因某些关键系统使用极其简单的密码──例如输入「LOUVRE」即可进入监控伺服器,「THALES」可开启法国航太国防巨擘达利思(Thales)开发的安全软体。
当年的报告即指出,这些漏洞让骇客有机会控制监视系统、修改门禁权限,甚至瘫痪博物馆的保全设施。 ANSSI当时建议全面更新密码、修补软体漏洞并汰换过时系统,但罗浮宫并未明确回应是否落实。
安全系统还在用过时Windows系统到了2017年,新一轮内部稽核仍发现「重大缺失」,包括监控系统老旧、维修不完全,且部分电脑仍在使用早已停更的Windows 2000与XP。报告警告,若不改善,罗浮宫恐难防止潜在的严重事件。
后续文件显示,至2025年仍有多达8款与保全相关的软体「无法更新」,其中包含管理监视与门禁的Sathi系统,该系统由达利思于2003年开发,但早已停止维护,仍运行于Windows Server 2003平台上,而微软自2015年起已不再提供安全更新。
今年初,巴黎警方再度对罗浮宫的安全中心进行审查。虽结果尚未公布,但调查官在参院指出,博物馆的资讯基础设施「迫切需要现代化」,而馆方「非常清楚现有系统的不足」。
10月19日发生的罗浮宫国宝窃案后,法国文化部长达提(Rachida Dati)原本强调「警报系统运作正常」,但十天后改口承认确实存在安全漏洞,并下令全面审查与修补资安缺陷。