Vous êtes sur le site public du Cert-IST
Problèmes de sécurité liés à Lotus Notes

Date :23 Juin 2005

Publication: Article

Ce mois-ci, outre les avis de sécurité du Cert-IST (CERT-IST/ AV- 2003.087) sur Lotus Notes, Lotus/IBM a publié deux avis concernant la sécurité de la solution Lotus Notes/Domino.

Ces avis ne concernent pas des failles majeures de Lotus Notes, mais proposent :

  • un moyen de protection du serveur de messagerie Domino contre les attaques par inondation ("flooding"),

  • une mise en garde contre l'utilisation du navigateur web Internet Explorer lors des connexions au service "webmail" proposé par la solution Lotus.

Protection du serveur de messagerie contre les attaques de type "flooding" :

Lotus propose un mécanisme pour protéger le serveur de messagerie de la suite Lotus Domino contre les attaques par inondation ("flooding"), suite à des ouvertures intempestives de sessions SMTP. Ce mécanisme permet, au travers de la configuration du serveur Domino, d'interdire des adresses IP malveillantes.

Exemple de traces d'une attaque :

19.02.2003 21:13:44 SMTP Server: xxx.xxx.xxx.xxx connected

19.02.2003 21:13:44 SMTP Server: xxx.xxx.xxx.xxx connected

19.02.2003 21:13:44 SMTP Server: xxx.xxx.xxx.xxx connected

Cette situation peut amener une surcharge anormale des ressources (CPU, mémoire) du serveur Domino. Cependant, cet état est temporaire et les connexions sont rejetées au bout d'un certain temps :

19.02.2003 22:13:05 SMTP Server: disconnected. 0 message[s] received

19.02.2003 22:13:05 SMTP Server: disconnected. 0 message[s] received

19.02.2003 22:13:05 SMTP Server: disconnected. 0 message[s] received

Pour éviter ce type de situation, Lotus propose des éléments de configuration afin de bannir les adresses IP indélicates.

Ainsi, pour empêcher une adresse de se connecter sur le service STMP de Lotus Domino versions 6.0.1 et 5.0.12 :

- Editer le fichier "NOTES.INI" du serveur Domino

- Saisir les paramètres suivants :

<Nom>AllowAddresses = [adresses IP]

<Nom>DenyAddresses = [adresses IP]

Les valeurs pour <Nom> peuvent être :

  • pour les connexions à travers le protocole NRPC ("NotesRPC" est le protocole propriétaire de Lotus Notes), <Nom> = "Server"

    • Ex : "ServerAllowAddresses" ou "ServerDenyAddresses".

  • Pour les connexions classiques, <Nom> doit être le nom du service utilisé (exemple : "POP3Allow").

    • Ex : "POP3AllowAddresses"

Les adresses IP mentionnées peuvent être construites avec des caractères "jokers".

Ex : ServerAllowAddresses = 10.0.0.1, 10.0.*.2

POP3DenyAddresses = 10.0.0.1, 10.*.*.*

Remarque : Lors de l'initialisation de ces variables dans le fichier NOTES.INI, il n'est pas nécessaire de redémarrer le serveur Domino (selon Lotus). Par contre, à chaque nouvelle modification, un redémarrage sera nécessaire.

Pour plus d'information

Avis de Lotus TN 1105201 : http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21105201 

Mise en garde contre l'utilisation du service webmail Lotus dans les lieux publics :

Le composant iNotes du serveur Lotus Domino permet d'accéder à distance aux fonctionnalités de la solution Lotus (messagerie électronique, agenda, ...) à travers un navigateur web ou à travers le client de messagerie Microsoft Outlook. iNotes offre ainsi un service de "webmail" aux utilisateurs itinérants.

Un problème a été découvert lors de l’utilisation du service "webmail" de Lotus au travers du navigateur web Internet Explorer (IE) disposant d’un plugin "BHO" (Browser Helper Object) spécifique. Le mécanisme des "BHO" est intégré à Internet Explorer (depuis la version 4) pour permettre à des tiers d'ajouter des fonctionnalités au navigateur ou de le personnaliser. Les objets de type "BHO" permettent, entre autres, d’accéder au contenu des pages du navigateur et d’en modifier le comportement. Un exemple d’utilisation est la visualisation de documents PDF à l’intérieur du navigateur.

Ainsi, une personne malveillante ayant installé un plugin "BHO" spécifique (ciblé sur l’application iNotes) sur un environnement disposant du navigateur IE peut faire en sorte que les e-mails lus via ce navigateur à partir du service "webmail" de Lotus Domino soient effacés avant même que l’utilisateur légitime les affiche.

Moyen de protection :

Avant d’utiliser un navigateur Internet Explorer dans un environnement peu sûr, désactiver l’utilisation des objets "BHO" :

  • Avec Internet Explorer 6 :

    • Menu "Outils", "Option Internet…", "Avancé"
    • Partie "Navigation"
    • Décocher "Activer les extensions tierce partie du navigateur"
    • Redémarrer Internet Explorer

  • Pour les autres versions d’IE, il existe un outil "BHO Cop" (payant) qui permet de détecter ce type d’objet et de le désactiver du système.

Pour plus d'information