«Tout le monde casse du petit bois sur Microsoft, alors nous avons décidé d'aller regarder du côté de chez Lotus et nous avons constaté que Microsoft n'a pas le monopole du mauvais codage.» Résultat du travail de Patrick Günther et de ses associés de la société Trust-Factory: deux failles dans Notes, système intégré de gestion d'entreprise de la société Lotus, ont été identifiées.

Les défauts concernent l'encodage des mots de passe des utilisateurs dans le serveur Notes. Patrick Günther et les membres de Trust-Factory, société basée à Genève et en Hollande, ont été capables d'avoir accès aux mots de passe et à différents dossier personnels d'un réseau Notes. Une opération qui demande certes un haut niveau de compétence et une conjonction de circonstances, mais que Trust-Factory, en collaboration avec Secure Design International, a réussi à répéter à Las Vegas, lors de la «Def Con hackers Convention», à la fin du mois de juillet.

Cette trouvaille a été dévoilée à une communauté informatique surprise: les produits Lotus étaient réputés très fiables. Lotus Notes, un produit qui se rapproche d'un intranet d'entreprise, compte 60 millions d'utilisateurs dans le monde: «Des sociétés comme Procter et Gamble, Price Waterhouse, Arthur Andersen et certaines grandes banques suisses. La CIA l'utilise également pour stocker des données», énumère Patrick Günther.

Si Lotus n'a pas démenti les affirmations de Trust-Factory, elle y apporté des précisions qui en amoindrissent la portée, selon le porte-parole de la firme. La version 4.6 de Notes permettrait notamment de gommer les failles identifiées. Pour plus d'informations, Lotus invite le public à consulter son site à l'adresse www.lotus.com/security. Patrick Günther dit pour sa part avoir trouvé d'autres trous. Des découvertes qu'il ne peut pas encore publier, faute d'en avoir informé Lotus.