Arsenio Lupin sarebbe rimasto molto deluso dagli errori del Louvre che avrebbero permesso anche a persone prive di alcuna competenza criminale di commettere il furto del secolo, per lo meno dal punto di vista simbolico. La banalità del male, potremmo aggiungere.
Password banali e l’impiego di un sistema operativo obsoleto e “scaduto”, ovvero privo di patch disponibili, come Windows Xp sarebbero alla base della facilità del piano criminale che non ha incontrato difese tecnologiche adeguate per essere ostacolato. “Ma la notizia che la password utilizzata dal Louvre per proteggere l’accesso al sistema di videosorveglianza interno fosse “louvre” ha fatto scalpore, ma devo dire che non mi ha per nulla sorpreso”, commenta Giorgio Sbaraglia, consulente aziendale cyber security, membro del Comitato Direttivo Clusit.
“Dovremmo prendere atto una volta per tutte che siamo biologicamente inadatti a percepire il rischio digitale”, aggiunge Alessandro Curioni, Fondatore di DI.GI Academy, specializzato in Information Security & Cybersecurity.
Ecco come mitigare il rischio, dal momento che, “se al Louvre la password era ‘louvre’ e i sistemi giravano su Windows XP, il vero colpo non l’ha fatto il ladro: l’ha fatto l’ignoranza digitale“, secondo Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0.
Indice degli argomenti
Furto al Louvre: le password non sono un optional
Sono sette le persone che, secondo l’inchiesta di Libération, si sospetta che avrebbero partecipato al furto, in pieno giorno nella galleria Apollo, che ai ladri ha permesso di rubare i gioielli della collezione della corona francese, emblema del patrimonio artistico nazionale, il cui valore si aggira sui 90 milioni di euro.
I dettagli che trapelano dall’inchiesta sui sistemi di sicurezza utilizzati dal museo parigino, uno dei più famosi (e, in teoria, fra i più sorvegliati) a livello globale, avrebbero messo in imbarazzo qualunque gestione della sicurezza. Un colabrodo dal punto di vista cyber.
“Qui infatti non parliamo di una svista”, conferma Sandro Sana, “ma è la prova vivente che la cyber security, in certi luoghi, è considerata poco più di un soprammobile. Proteggono la Gioconda con vetri antiproiettile… e poi lasciano la porta di rete spalancata come il portone di un condominio anni ’70“.
Fino al 2014, per accedere ai server di video-sorveglianza del museo, si utilizzava come password proprio “louvre”, il nome dell’omonimo museo, la password che, dopo 123456, qualunque ladro avrebbe provato, sapendo che l’utente continua a rappresentare l’anello debole della sicurezza.
“Nella mia attività di consulenza di cyber security nelle aziende”, sottolinea Giorgio Sbaraglia, “vedo ripetersi spesso questo errore: recentemente ho avuto addirittura due casi di aziende che utilizzavano per la loro VPN una password che era – banalmente – il nome dell’azienda. Un errore pagato caro perché in entrambi i casi le due aziende sono state colpite da un ransomware (che ne ha criptato i dati) e la porta d’accesso dell’attacco è stata proprio la VPN, così maldestramente protetta. Ma evidentemente queste lezioni sembrano non servire”.
La ministra della Cultura, Rachida Dati, ha ammesso pubblicamente “una sottovalutazione cronica e strutturale del rischio di furti”.
Ma non basta.
Gli altri errori del museo parigino
L’Agenzia nazionale per la sicurezza informatica, già nel 2014, aveva stilato un rapporto per mettere in guardia proprio sull’accesso al sistema catalogato come vulnerabile, in grado di “rendere più facile il furto di opere d’arte”.
“La scena è sempre la stessa: tecnologia da museo, mentalità da fax“, alza il tiro Sandro Sana: “Si spendono milioni in allarmi e vigilanza fisica, ma quando si arriva al digitale si risolve tutto con una password da film Disney e la convinzione che ‘tanto chi vuoi che attacchi noi?’”.
La banalità della password – che coincideva con il nome del museo stesso “louvre” per l’accesso al sistema di videosorveglianza e di “thales” per gestire un software di sicurezza fornito da Thalès – rappresenta il simbolo plastico dell’inconsapevolezza dei rischi cyber e non solo.
“Ecco la verità nuda”, mette in evidenza Sana, “non è un incidente, è una scelta. Una scelta fatta da chi pensa che la sicurezza informatica sia una scocciatura burocratica, non un requisito minimo di sopravvivenza”.
Telecamere inadeguate, sistemi operativi a dir poco obsoleti e password non solo debolissime, ma banali erano già note vulnerabilità già prima del furto di gioielli.
Infatti il sistema di sorveglianza sfruttava un sistema operativo obsoleto come Xp che non riceve aggiornamenti dal 2014 e videocamere anacronistiche.
“Se fosse vera che le banali password utilizzate fossero ancora in uso, si potrebbe dire che si tratta di un problema di memoria, riferito non al ricordarsi le password, ma al dimenticare quelle che abbiamo utilizzato. Una differenza sottile ma non trascurabile. Se fosse vera anche le password banali sono state decisive, dovremmo prendere atto una volta per tutte che siamo biologicamente inadatti a percepire il rischio digitale, quindi iniziare a ipotizzare quando il piano A è digitale, il piano B deve essere analogico”, sottolinea Curioni.
Lezioni trascurate
“Nonostante ormai si cerchi di spiegarlo in tutti i modi, gli errori che vengono fatti nell’uso delle password, sia personali che aziendali, sono sempre gli stessi”, secondo Giorgio Sbaraglia: “Inutile ricordare quali sono le best practice, dovrebbero essere ormai note a tutti: password lunghe e complesse, sempre diverse, evitare il password reuse, evitare parole di senso compiuto o che siano collegate alla nostra vita o alla nostra azienda. Come mi piace rimarcare sempre nelle mie attività di formazione: ‘The only secure password is the one you can’t remember’”.
Come mitigare il rischio
In attesa di stendere 60 chilometri di nuovi cavi, che non saranno pronti prima del 2030, servirebbe maggiore consapevolezza.
Dal Data Breach Investigations Report di Verizon (2024), emerge che l’81% delle violazioni ancora oggi riguarda password deboli o il loro furto.
Le password (anche quelle forti, figuriamoci quelle banali) non sono “sicurezza”, ma il minimo sindacale. Eppure sistemi critici sono ancora oggi accessibili con credenziali statiche, senza MFA, senza tracciamento degli accessi, senza meccanismi di alert in caso di comportamento anomalo.
Lo scandalo Xp al Louvre
L’utilizzo di Windows Xp nel 2025 non ha poi alcuna giustificazione. Scaduto l’8 aprile 2014, significa che da oltre un decennio, Microsoft ha cessato di fornire gli update di sicurezza, il supporto tecnico e cle orrezioni per sanare il sistema operativo. Dunque è un OS obsoleto e vulnerabile.
Aggiornare i sistemi operativi e mantenerli aggiornati con le patch, e così fare con software ed app, è l’abc di cui qualunque cyber igiene personale e postura di sicurezza aziendale.
Il problema non è tecnologico, essendo disponibili soluzioni, bensì culturale.
“Non ci si rende conto che gran parte delle violazioni degli account (oltre l’80%) sono causate da password rubate e/o password deboli“, mette in guardia Sbaraglia: “E si sottovaluta il rischio: un cyber attacco che utilizzi credenziali rubate (o deboli) è molto meno rumoroso e difficile da rilevare, perché l’attaccante utilizza credenziali legittime e quindi nessun sistema di detection (quali gli EDR o XDR) sarà in grado di riconoscerlo“.
Finché non capiremo che la cyber sicurezza è soprattutto una mentalità da adottare, continueremo a piangere per il furto di gioielli di Napoleone ed altri crimini ancora più pericolosi.
“Morale: se il Louvre cade per una password da bar sport, forse il vero patrimonio da proteggere non sono i quadri, ma il cervello di chi li gestisce”, conclude con pungente (ma amara) ironia Sandro Sana.
La migrazione verso sistemi passwordless
Tuttavia non è sufficiente scegliere password forti e custodirle con password manager. “A questo punto, dobbiamo renderci conto che l’autenticazione con password non è la soluzione migliore, né la più efficiente: gli essere umani non sono in grado di gestirla correttamente ed in sicurezza”, conclude Sbaraglia che suggerisce di “accelerare la migrazione verso sistemi passwordless: il progetto Passkeys, presentato ormai tre anni fa dalla FIDO Alliance può essere un’ottima soluzione perché utilizza un’autenticazione biometrica senza nessun password (‘passwordless’, appunto)”.
