NTS Activé sur l'Ensemble de Notre Pool Sécurisé
Une Infrastructure NTP Désormais Sécurisée
Dans la lignée de plus de 20 ans de contribution au pool NTP,
NTS (Network Time Security) est maintenant actif sur l'ensemble de notre pool.
La synchronisation temporelle est un composant critique de toute infrastructure informatique. Jusqu'à présent, le protocole NTP transmettait le temps en clair et sans authentification, exposant les systèmes à des attaques potentielles. Avec l'activation de NTS sur notre infrastructure, vos systèmes peuvent désormais vérifier cryptographiquement que le temps reçu provient bien de nos serveurs.
Pourquoi Activer NTS Maintenant ?
NTS (Network Time Security), standardisé par la RFC 8915 en septembre 2020, représente une évolution majeure du protocole NTP. Voici pourquoi c'est le moment d'adopter cette technologie.
Une Infrastructure Encore Rare
Il n'existe qu'environ 60 à 70 serveurs NTS publics dans le monde, dont 45-50 en Europe. À titre de comparaison, le pool NTP européen compte 3 735 serveurs — l'infrastructure NTS est donc 100 fois plus rare.
En France, la couverture NTS est particulièrement faible. En activant NTS sur notre pool, RDEM Systems contribue à combler ce déficit et offre une alternative locale fiable.
Avec nos 11 serveurs NTS, nous devenons un contributeur significatif des fournisseurs de temps NTS.
L'Adoption S'Accélère
Chrony avec NTS activé par défaut — un point d'inflexion majeur pour l'adoption.
L'institut de métrologie allemand abandonne son service NTP authentifié payant au profit de NTS gratuit.
Déploiement de ntpd-rs (Rust) financé par ISRG/Prossimo pour leurs infrastructures critiques.
Financement du développement d'un pool NTS par la Trifecta Tech Foundation.
Arguments Techniques et Opérationnels
| Bénéfice | Impact |
|---|---|
| Validation DNSSEC | DNSSEC dépend d'un temps exact pour valider les signatures. Un temps manipulé peut compromettre toute la chaîne DNS. |
| Certificats TLS/SSL | Un temps incorrect peut faire accepter des certificats expirés ou pas encore valides, ouvrant la porte aux attaques. |
| Authentification 2FA (TOTP) | Les tokens à usage unique (Google Authenticator, etc.) dépendent d'un temps synchronisé à +/- 30 secondes. En savoir plus → |
| Transactions financières | Les systèmes de trading, paiements et audit requièrent un horodatage fiable et inaltérable. |
| Logs et conformité | Un temps compromis invalide les journaux d'audit, problématique pour RGPD, PCI-DSS, SOC2. |
Les Risques de Sécurité Sans NTS
Le protocole NTP, conçu dans les années 1980, n'intègre aucun mécanisme de sécurité natif. Les paquets NTP circulent en UDP sans chiffrement ni authentification, ce qui expose les systèmes à plusieurs types d'attaques bien documentées :
NTP Classique (Non Sécurisé)
- Paquets en clair sur le réseau
- Aucune authentification du serveur
- Vulnérable aux attaques MITM
- Usurpation de serveur possible
- Manipulation du temps en transit
NTP avec NTS (Sécurisé)
- Échange de clés via TLS 1.3
- Authentification cryptographique
- Protection contre les MITM
- Vérification de l'identité serveur
- Intégrité des données garantie
Comment fonctionne NTS ?
NTS (Network Time Security) est défini par la RFC 8915. Le protocole fonctionne en deux phases :
- Phase d'établissement (NTS-KE) : Le client établit une connexion TLS 1.3 avec le serveur sur le port 4460. Ils échangent des cookies chiffrés qui seront utilisés pour authentifier les échanges NTP suivants.
- Phase de synchronisation : Les requêtes NTP classiques (port 123) incluent désormais des extensions cryptographiques. Chaque réponse est authentifiée grâce aux cookies négociés précédemment.
Nos Serveurs NTS Disponibles
L'ensemble de notre pool NTP supporte désormais NTS. Vous pouvez utiliser n'importe lequel
de ces serveurs pour une synchronisation sécurisée. Tous les TLD sont valides :
.com, .fr, .eu, .net, .org,
.be, .biz, .info.
Serveurs Individuels (Stratum 2)
Entrées Pool (Load-Balanced)
Configurer Votre Client NTS
Chrony est le client NTP recommandé pour utiliser NTS. Il est disponible sur la plupart des distributions Linux modernes et supporte nativement NTS depuis la version 4.0.
Configuration Chrony avec NTS
Éditez votre fichier /etc/chrony/chrony.conf (ou /etc/chrony.conf) :
# /etc/chrony/chrony.conf - Configuration NTS RDEM Systems
# Serveurs NTS RDEM Systems (sécurisés)
# Vous pouvez mixer les TLD : .com, .fr, .eu, .net, .org, .be, .biz, .info
server ntp-pool.rdem-systems.com iburst nts
server ntp-1.rdem-systems.fr iburst nts
server ntp-2.rdem-systems.eu iburst nts
server ntp-3.rdem-systems.net iburst nts
# Fichier de dérive
driftfile /var/lib/chrony/drift
# Autoriser les mises à jour importantes au démarrage
makestep 1.0 3
# Activer le mode temps réel
rtcsync
# Journalisation
logdir /var/log/chronyInstallation et Redémarrage
# Installation de Chrony (Debian/Ubuntu)
sudo apt update && sudo apt install chrony
# Ou sur RHEL/CentOS/Fedora
sudo dnf install chrony
# Redémarrage du service
sudo systemctl restart chronyd
# Vérification du statut
sudo systemctl status chronydVérifier que NTS Fonctionne
Après avoir configuré Chrony avec NTS, vérifiez que l'authentification fonctionne correctement :
Commande chronyc sources
sudo chronyc -N sourcesVous devriez voir vos sources avec le flag N indiquant que NTS est actif :
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* ntp-pool.rdem-systems.c> 2 6 377 23 -145us[ -201us] +/- 12ms
^+ ntp-1.rdem-systems.com 2 6 377 24 +234us[ +178us] +/- 15ms
^+ ntp-2.rdem-systems.com 2 6 377 25 -89us[ -145us] +/- 14msVérifier l'état NTS
sudo chronyc -N authdataCette commande affiche les détails de l'authentification NTS pour chaque source :
Name/IP address Mode KeyID Type KLen Last Atmp NAK Cook CLen
=========================================================================
ntp-pool.rdem-systems.c> NTS 1 15 256 23m 0 0 8 100
ntp-1.rdem-systems.com NTS 1 15 256 24m 0 0 8 100
ntp-2.rdem-systems.com NTS 1 15 256 25m 0 0 8 100Indicateurs de Bon Fonctionnement
- Mode = NTS : L'authentification NTS est active
- NAK = 0 : Aucune authentification rejetée
- Cook > 0 : Des cookies sont disponibles pour les futures requêtes
- KeyID et KLen : Clé de session établie avec succès
Questions Fréquentes
NTS fonctionne-t-il avec ntpd ?
Non, le daemon ntpd classique ne supporte pas NTS. Vous devez utiliser
Chrony (recommandé), NTPsec ou ntpd-rs (Rust) pour bénéficier de NTS.
Windows W32Time ne supporte pas non plus NTS.
Quel est l'impact sur les performances ?
L'impact est négligeable. La négociation TLS n'intervient qu'au démarrage et lors du renouvellement des cookies (environ toutes les heures). Les échanges NTP réguliers ajoutent seulement ~100 octets pour l'authentification.
Puis-je mixer NTS et NTP classique ?
Oui, Chrony peut utiliser simultanément des sources NTS et des sources NTP classiques. Cependant, pour une sécurité optimale, privilégiez les sources NTS.
Que se passe-t-il si NTS échoue ?
Par défaut, si NTS ne peut pas être établi, Chrony n'utilisera pas la source concernée. C'est un comportement sécurisé : mieux vaut ne pas synchroniser que synchroniser de manière non authentifiée.
Combien de serveurs NTS existent dans le monde ?
Seulement 60 à 70 serveurs NTS publics existent mondialement, dont environ 45-50 en Europe. Les leaders institutionnels sont Netnod (Suède, 12+ serveurs), PTB (Allemagne, 4 serveurs) et SIDN Labs (Pays-Bas). La France est sous-représentée, ce qui motive notre engagement.
Pourquoi n'y a-t-il pas de pool NTS comme pool.ntp.org ?
Le mécanisme de pooling traditionnel est incompatible avec NTS car chaque serveur nécessite son propre certificat TLS. Un projet financé par ICANN (2025-2027) travaille sur une solution, mais pour l'instant, il faut configurer les serveurs NTS individuellement.
Quels systèmes d'exploitation supportent NTS par défaut ?
Ubuntu 25.10+ activera Chrony avec NTS par défaut — un tournant majeur. RHEL/Fedora et SUSE documentent la configuration NTS. La plupart des distributions Linux modernes permettent d'activer NTS facilement avec Chrony.
Peut-on externaliser la gestion de son infrastructure NTP/NTS ?
Oui. RDEM Systems assure l'infogérance et l'astreinte 24/7 de serveurs — incluant la synchronisation temporelle NTP/NTS, le monitoring de dérive, et la maintenance des configurations Chrony. Idéal pour les DSI qui veulent fiabiliser leur horodatage sans mobiliser d'équipe interne dédiée.
Comment garantir la conformité NTP pour MiFID II ou PCI-DSS ?
MiFID II impose une synchronisation UTC ≤ 100 μs pour les systèmes de trading, et PCI-DSS exige NTP pour la corrélation des logs. RDEM Systems propose un audit NTP/NTS en 1 journée : entretien technique avec vos adminsys, analyse d'architecture (sources, strates, redondance, SPOF), et livraison d'un rapport de conformité avec plan de remédiation. Contactez-nous →
💡 Vérifiez la compatibilité NTS de votre serveur avec le testeur ntp-tester.eu/nts
- Souveraineté de l'infrastructure temps en France — architecture AS206014, datacenters parisiens, conformité RGS / NIS2 / MiFID II.
- L'infrastructure historique RDEM depuis 2005 — pourquoi le NTS déployé ici s'appuie sur 20+ ans d'opération NTP continue.
- Tester l'heure à la voix sur la pendule parlante — vitrine concrète, par téléphone, du même Stratum 1 que vous interrogez via NTS.
Outils NTP gratuits
Trois outils indépendants pour diagnostiquer votre synchronisation de temps :