Denn die Journalisten von Libération konnten diverse vertrauliche Audits der Sicherheitssysteme des Louvre-Museums einsehen. Demnach gab es bereits 2014 und 2017 eklatante IT-Sicherheitsprobleme. So sei bei einem Audit durch die französische Cybersicherheitsbehörde ANSSI im Jahr 2014 festgestellt worden, dass das Office-Automation-Netzwerk des Louvre auf Windows 2000 lief – drei Jahre nachdem Microsoft die Security-Updates für sein Legacy-Betriebssystem eingestellt hatte. Ein weiteres haarsträubendes Highlight des Berichts: Ein Videoüberwachungssystem, dessen Server mit Passwort LOUVRE “abgesichert” war. Laut dem Bericht von Libération wurde den Louvre-Verantwortlichen damals seitens ANSSI empfohlen, komplexe Passwörter einzusetzen, Schwachstellen zu patchen und seine Software zu aktualisieren.
Dass man diesen Empfehlungen offenbar nicht nachgekommen ist, zeigt der zweite Audit-Report aus dem Jahr 2017 – diesmal durchgeführt von der dem französischen Innenministerium unterstellten Behörde INHESJ. Diese Prüfer stellten laut Libération drei Jahre später ebenfalls fest, dass Arbeitsplätze mit veralteten Betriebssystemen wie Windows 2000 und XP (Support seitens Microsoft 2014 eingestellt) ausgestattet waren und beanstandeten eine laxe Passworthygiene.
Und die Windows-Probleme des Louvre setzten sich auch danach weiter fort – mindestens bis zum Jahr 2021. So wurde etwa ein Videoüberwachungssystem des französischen Unternehmens Thales im Jahr 2003 eingeführt. Dokumenten zufolge lief dieses bis zum Jahr 2021 auf einem Rechner mit Windows Server 2003 (erweiterter Support 2015 ausgelaufen) – obwohl die Applikation schon seit 2019 keinen Support und damit auch keine Sicherheits-Updates mehr erhielt.