Arsenio Lupin sarebbe rimasto molto deluso dagli errori del Louvre che avrebbero permesso anche a persone prive di alcuna competenza criminale di commettere il furto del secolo, per lo meno dal punto di vista simbolico. La banalità del male, potremmo aggiungere.

Password banali e l’impiego di un sistema operativo obsoleto e “scaduto”, ovvero privo di patch disponibili, come Windows Xp sarebbero alla base della facilità del piano criminale che non ha incontrato difese tecnologiche adeguate per essere ostacolato.

“Dovremmo prendere atto una volta per tutte che siamo biologicamente inadatti a percepire il rischio digitale”, commenta Alessandro Curioni, Fondatore di DI.GI Academy, specializzato in Information Security & Cybersecurity.

Ecco come mitigare il rischio, dal momento che, “se al Louvre la password era ‘louvre’ e i sistemi giravano su Windows XP, il vero colpo non l’ha fatto il ladro: l’ha fatto l’ignoranza digitale“, secondo Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0.

Furto al Louvre: le password non sono un optional

Sono sette le persone che, secondo l’inchiesta di Libération, si sospetta che avrebbero partecipato al furto, in pieno giorno nella galleria Apollo, che ha ai ladri ha permesso di rubare i gioielli della collezione della corona francese, emblema del patrimonio artistico nazionale, il cui valore si aggira sui 90 milioni di euro.

I dettagli che trapelano dall’inchiesta sui sistemi di sicurezza utilizzati dal museo parigino, uno dei più famosi (e, in teoria, fra i più sorvegliati) a livello globale, avrebbero messo in imbarazzo qualunque gestione della sicurezza. Un colabrodo dal punto di vista cyber.

“Qui infatti non parliamo di una svista”, conferma Sandro Sana, “ma è la prova vivente che la cyber security, in certi luoghi, è considerata poco più di un soprammobile. Proteggono la Gioconda con vetri antiproiettile… e poi lasciano la porta di rete spalancata come il portone di un condominio anni ’70“.

Fino al 2014, per accedere ai server di video-sorveglianza del museo, si utilizzava come password proprio “louvre”, il nome dell’omonimo museo, la password che, dopo 123456, qualunque ladro avrebbe provato, sapendo che l’utente continua a rappresentare l’anello debole della sicurezza.

La ministra della Cultura, Rachida Dati, ha ammesso pubblicamente “una sottovalutazione cronica e strutturale del rischio di furti”.

Ma non basta.

Gli altri errori del museo parigino

L’Agenzia nazionale per la sicurezza informatica, già nel 2014, aveva stilato un rapporto per mettere in guardia proprio sull’accesso al sistema catalogato come vulnerabile, in grado di “rendere più facile il furto di opere d’arte”.

“La scena è sempre la stessa: tecnologia da museo, mentalità da fax“, alza il tiro Sandro Sana: “Si spendono milioni in allarmi e vigilanza fisica, ma quando si arriva al digitale si risolve tutto con una password da film Disney e la convinzione che ‘tanto chi vuoi che attacchi noi?’”.

La banalità della password – che coincideva con il nome del museo stesso “louvre” per l’accesso al sistema di videosorveglianza e di “thales” per gestire un software di sicurezza fornito da Thalès – rappresenta il simbolo plastico dell’inconsapevolezza dei rischi cyber e non solo.

“Ecco la verità nuda”, mette in evidenza Sana, “non è un incidente, è una scelta. Una scelta fatta da chi pensa che la sicurezza informatica sia una scocciatura burocratica, non un requisito minimo di sopravvivenza”.

Telecamere inadeguate, sistemi operativi a dir poco obsoleti e password non solo debolissime, ma banali erano già note vulnerabilità già prima del furto di gioielli.

Infatti il sistema di sorveglianza sfruttava un sistema operativo obsoleto come Xp che non riceve aggiornamenti dal 2014 e videocamere anacronistiche.

“Se fosse vera che le banali password utilizzate fossero ancora in uso, si potrebbe dire che si tratta di un problema di memoria, riferito non al ricordarsi le password, ma al dimenticare quelle che abbiamo utilizzato. Una differenza sottile ma non trascurabile. Se fosse vera anche le password banali sono state decisive, dovremmo prendere atto una volta per tutte che siamo biologicamente inadatti a percepire il rischio digitale, quindi iniziare a ipotizzare quando il piano A è digitale, il piano B deve essere analogico”, sottolinea Curioni.

Come mitigare il rischio

In attesa di stendere 60 chilometri di nuovi cavi, che non saranno pronti prima del 2030, servirebbe maggiore consapevolezza.

Dal Data Breach Investigations Report di Verizon (2024), emerge che l’81% delle violazioni ancora oggi riguarda password deboli o il loro furto.

Le password (anche quelle forti, figuriamoci quelle banali) non sono “sicurezza”, ma il minimo sindacale. Eppure sistemi critici sono ancora oggi accessibili con credenziali statiche, senza MFA, senza tracciamento degli accessi, senza meccanismi di alert in caso di comportamento anomalo.

L’utilizzo di Windows Xp nel 2025 non ha poi alcuna giustificazione. Scaduto l’8 aprile 2014, significa che da oltre un decennio, Microsoft ha cessato di fornire gli update di sicurezza, il supporto tecnico e cle orrezioni per sanare il sistema operativo. Dunque è un OS obsoleto e vulnerabile.

Aggiornare i sistemi operativi e mantenerli aggiornati con le patch, e così fare con software ed app, è l’abc di cui qualunque cyber igiene personale e postura di sicurezza aziendale.

Il problema non è tecnologico, essendo disponibili soluzioni, bensì culturale. Finché non capiremo che la cyber sicurezza è soprattutto una mentalità da adottare, continueremo a piangere per il furto di gioielli di Napoleone ed altri crimini ancora più pericolosi.

“Morale: se il Louvre cade per una password da bar sport, forse il vero patrimonio da proteggere non sono i quadri, ma il cervello di chi li gestisce”, conclude con pungente (ma amara) ironia Sandro Sana.