FAQ - Questions Fréquentes sur NTP

NTP (Network Time Protocol) est un protocole réseau qui permet de synchroniser l'horloge de vos appareils (ordinateurs, serveurs, téléphones) avec des sources de temps de référence, comme des horloges atomiques.

Il garantit que tous vos systèmes affichent la même heure avec une précision de l'ordre de la milliseconde sur un réseau local, et de quelques millisecondes sur Internet.

En savoir plus : Comprendre NTP en détail →

Le Stratum indique le niveau hiérarchique d'un serveur NTP dans la chaîne de distribution du temps :

• Stratum 0 : Sources de temps de référence (horloges atomiques, GPS, signaux radio)
• Stratum 1 : Serveurs directement connectés aux sources Stratum 0
• Stratum 2 : Serveurs synchronisés sur les Stratum 1
• Stratum 3+ : Appareils clients (PC, téléphones, serveurs d'entreprise)

Plus le chiffre est bas, plus la source est proche de la référence atomique.

NTP transmet l'heure sans protection cryptographique. N'importe qui sur le réseau pourrait théoriquement intercepter et modifier les paquets de temps.

NTS (Network Time Security, défini dans la RFC 8915) ajoute une couche d'authentification basée sur TLS 1.3 : votre client peut vérifier que l'heure provient bien du serveur attendu et qu'elle n'a pas été altérée en transit.

En savoir plus sur NTS →

Le Pool NTP (ntppool.org) est un projet collaboratif qui regroupe plus de 4 000 serveurs NTP dans le monde. Quand vous configurez pool.ntp.org, votre appareil est automatiquement dirigé vers des serveurs proches géographiquement.

RDEM Systems est un membre actif du pool avec une dizaine de serveurs contribuant au pool français (fr.pool.ntp.org).

Pourquoi contribuer au pool NTP ? →

Oui, nos serveurs NTP publics (ntp1 à ntp11.rdem-systems.com) sont accessibles gratuitement. Ils font partie du pool NTP mondial et sont ouverts à tous.

Pour des besoins professionnels nécessitant un SLA, un support dédié ou une architecture sur mesure, nous proposons des services managés.

Nous opérons une dizaine de serveurs NTP publics (ntp1 à ntp11), hébergés dans des datacenters en France et en Europe.

• 1 serveur Stratum 1 : équipé d'un récepteur GNSS (GPS/Galileo) avec signal PPS
• 10+ serveurs Stratum 2 : synchronisés sur notre Stratum 1 et d'autres sources de confiance

Tous nos serveurs supportent NTS et sont disponibles en IPv4 et IPv6.

Nos serveurs répondent sur 8 TLD différents pour une redondance DNS maximale :

rdem-systems.{be, biz, com, eu, fr, info, net, org}

Astuce : Mixez les TLD dans votre configuration pour ne pas dépendre d'un seul registre DNS. Par exemple : ntp1.rdem-systems.fr, ntp2.rdem-systems.eu, ntp3.rdem-systems.net.

Notre score de fiabilité est consultable publiquement sur le site officiel du pool NTP. Nous maintenons un score élevé grâce à notre infrastructure redondante et notre monitoring 24/7.

Consulter notre score en temps réel sur ntppool.org →

Sur Linux, trois clients NTP principaux sont disponibles :

• Chrony (recommandé) : server ntp1.rdem-systems.fr iburst dans /etc/chrony/chrony.conf
• NTPd : server ntp1.rdem-systems.fr iburst dans /etc/ntp.conf
• systemd-timesyncd : NTP=ntp1.rdem-systems.fr dans /etc/systemd/timesyncd.conf

Consultez notre page d'accueil pour un générateur de commandes interactif selon votre OS et client.

Via navigateur :

Utilisez notre outil de vérification en ligne pour comparer l'heure de votre machine avec notre référence Stratum 1.

Via ligne de commande :

• Chrony : chronyc tracking et chronyc sources -v
• NTPd : ntpq -p
• systemd : timedatectl timesync-status
• Windows : w32tm /query /status

Vous pouvez utiliser les outils check-ntp.net et online-ntp-validator.com pour vérifier votre configuration.

NTS est supporté nativement par Chrony (version 4.0+). Il suffit d'ajouter le mot-clé nts à votre configuration :

server ntp1.rdem-systems.fr iburst nts

Guide complet de configuration NTS →

Configurer au moins 4 serveurs NTP est une bonne pratique pour plusieurs raisons :

• Redondance : si un serveur tombe en panne, les autres prennent le relais
• Détection d'anomalies : l'algorithme NTP compare les réponses et élimine les valeurs aberrantes
• Précision : la moyenne de plusieurs sources est plus fiable qu'une source unique
• Résilience DNS : mixer les TLD (.fr, .eu, .com) protège contre les pannes DNS

Si votre horloge est décalée de plus de quelques secondes :

• Vérifiez la connectivité : assurez-vous que le port UDP 123 n'est pas bloqué par un pare-feu
• Forcez une synchronisation : sudo chronyc makestep (Chrony) ou sudo ntpdate -b ntp1.rdem-systems.fr
• Vérifiez le fuseau horaire : timedatectl sur Linux
• Vérifiez les sources : chronyc sources pour voir si les serveurs répondent

Pour un décalage supérieur à 1000 secondes, Chrony refusera de corriger automatiquement. Utilisez makestep pour forcer la correction.

NTP utilise le port UDP 123. Si votre pare-feu ou votre réseau bloque ce port :

• Demandez à votre administrateur réseau d'ouvrir le port UDP 123 en sortie
• Utilisez NTS qui établit d'abord une connexion TLS sur le port TCP 4460, avant de basculer sur UDP 123
• En dernier recours, certains clients supportent la synchronisation HTTP (moins précise)

Les codes TOTP (Time-based One-Time Password) utilisés pour la double authentification sont basés sur l'heure. Si l'horloge de votre appareil est décalée de plus de 30 secondes par rapport au serveur, les codes seront rejetés.

Solution :

• Vérifiez que la synchronisation automatique de l'heure est activée sur votre appareil
• Sur Android : Paramètres > Système > Date et heure > Heure automatique
• Sur iPhone : Réglages > Général > Date et heure > Réglage automatique
• Sur PC : vérifiez votre configuration NTP

Comprendre le lien entre TOTP et NTP →

Les machines virtuelles KVM sur Proxmox VE peuvent subir une dérive d'horloge plus importante que les machines physiques. Même si l'horloge paravirtualisée (kvm-clock) améliore la situation, un client NTP dédié (Chrony) reste indispensable en production.

Configuration recommandée :

• Installez Chrony dans chaque VM avec au moins 4 sources NTP fiables
• Activez makestep 1 3 pour corriger automatiquement les décalages importants au démarrage
• Vérifiez que kvm-clock est la source active : cat /sys/devices/system/clocksource/clocksource0/current_clocksource
• Pour les charges critiques, envisagez NTS pour authentifier cryptographiquement vos sources de temps

Guide complet : Héberger un serveur NTP public sur une VM Proxmox →

Oui, c'est tout à fait possible et c'est d'ailleurs une approche de plus en plus courante. Les hyperviseurs modernes comme Proxmox VE (KVM) offrent des performances de synchronisation suffisantes pour servir du temps à des clients, à condition de bien configurer le socle.

• Utilisez kvm-clock comme source d'horloge dans la VM
• L'hôte Proxmox doit lui-même être synchronisé avec précision (Stratum 1 ou 2)
• Préférez Chrony à ntpd pour sa meilleure gestion de la virtualisation
• La latence réseau virtuelle est négligeable par rapport à la latence WAN

Lire notre retour d'expérience complet →

Un temps incorrect peut avoir des conséquences graves sur la sécurité :

• Certificats TLS/SSL : un temps manipulé peut faire accepter des certificats expirés ou pas encore valides
• Authentification Kerberos : tolère un décalage maximal de 5 minutes par défaut
• Logs et forensics : des horodatages incohérents rendent la corrélation d'événements impossible lors d'un incident de sécurité
• Replay attacks : un attaquant pourrait rejouer des paquets si le temps n'est pas fiable

Plusieurs réglementations et standards imposent une synchronisation temporelle fiable :

• PCI-DSS (exigence 10.4) : synchronisation de toutes les horloges système
• MiFID II : précision de 100 microsecondes pour le trading haute fréquence
• RGPD : traçabilité des accès aux données personnelles avec horodatage fiable
• ISO 27001 : contrôle A.12.4.4 sur la synchronisation des horloges
• NIS2 : exigences de journalisation et traçabilité des événements de sécurité