Lotus Notes Domino et le DefCon
Date : 27 Juillet 2005
Lotus Notes Domino et le DefCon
Lors de la 8ième conférence DefCon qui s’est tenue à Las Vegas en Juillet 2000, un présentation a soulevé certaines interrogations concernant la sécurité des serveurs Lotus Notes Domino.
Lotus a fourni des éléments de réponse relativisant les problèmes évoqués ci-dessous.
1er problème :
Lorsqu’un utilisateur désire se connecter via le web à un serveur Notes, il n’utilise pas l’identifiant Notes (ID Notes) mais un mot de passe Http.
La clé (mot de passe) permettant de déverrouiller l’identifiant Notes (Notes ID) peut être dérivée du format par défaut utilisé pour sauvegarder le mot de passe http (à condition que la clé protégeant l’ID Notes soit la même que le mot de passe http).
Réponse de Lotus : Cette vulnérabilité n’affecte pas toutes les installations de Notes/Domino et peut être facilement évitée. De même pour exploiter ce problème, plusieurs conditions préalables sont nécessaires.
Solution : Renforcer le format des mot de passe http en utilisant un outil introduit dans la version R4.6 de Lotus.
2em problème :
L’utilisation de la touche F5 pour bloquer l’identifiant Notes n’efface pas dans certains cas le mot de passe relatif à cet identifiant qui est situé en mémoire. Il peut être récupéré localement au moyen d’une API Notes.
Réponse de Lotus : Cette vulnérabilité n’est pas spécifique à Lotus Notes. Cependant l’utilisateur malicieux doit avoir un accès physique à la machine et des outils sophistiqués à sa portée.
Solution : Lorsqu’un utilisateur quitte son poste, il faut qu’il ferme le client Notes ou qu’il bloque sa machine en utilisant les fonctionnalité de son système d’exploitation (économiseur d'écran, ...).
3em problème :
Dans Lotus Notes, lorsque que le navigateur Notes rencontre des attachements dans un page Web (contrôles ActiveX, ...) ces derniers peuvent être visualisés ou détachés.
Cependant, Notes ne fournit pas de moyen de sécurité supplémentaire lorsque Notes est utilisé conjointement avec Internet Explorer et que des attachements (Contrôle ActiveX, ...) sont exécutés.
Réponse de Lotus : Cette vulnérabilité n’est pas spécifique à Lotus Notes. Internet Explorer, seul, est également sensible à ce genre de comportement.
Solution : Ne pas lancer des exécutables inconnus et non sûrs et ne pas ignorer les messages d’avertissements de Notes et d’IE.
Toutes ces informations sont disponibles dans l’avis du CIAC K-062 à l’adresse : http://ciac.llnl.gov/ciac/bulletins/k-062.shtml