Qu'est-ce que NTS (Network Time Security) ?

NTS est une extension de sécurité pour le protocole NTP, standardisée par la RFC 8915 en septembre 2020. Elle fournit l'authentification cryptographique via TLS 1.3 et la protection de l'intégrité des données, garantissant que le temps reçu provient bien du serveur attendu.

Pourquoi utiliser NTS plutôt que NTP classique ?

NTP classique n'offre aucune authentification : un attaquant peut usurper un serveur NTP ou modifier les paquets en transit (attaque MITM). NTS protège contre ces attaques, ce qui est critique pour DNSSEC, la validation TLS, l'authentification TOTP et les transactions financières.

Quel client NTP supporte NTS ?

Chrony (v4.0+) est le client recommandé. NTPsec et ntpd-rs (implémentation Rust) supportent également NTS. Ubuntu 25.10+ activera Chrony avec NTS par défaut. Windows W32Time ne supporte pas NTS.

Existe-t-il un pool NTS comme pool.ntp.org ?

Non, il n'existe pas encore de pool NTS fonctionnel. Les certificats TLS requis par NTS empêchent le mécanisme de pooling traditionnel. Un projet financé par ICANN (2025-2027) travaille sur une solution, mais pour l'instant il faut configurer les serveurs NTS individuellement.

NTS Activé sur l'Ensemble de Notre Pool Sécurisé

Q: Combien de serveurs NTS existent dans le monde ?

Il n'existe qu'environ 60-70 serveurs NTS publics dans le monde, dont 45-50 en Europe. C'est 100 fois moins que les 3735 serveurs NTP du pool européen. L'infrastructure NTS est encore rare et en début d'adoption.

Par Richard DEMONGEOT | 16 janvier 2026 | Temps de lecture : 8 min

Une Infrastructure NTP Désormais Sécurisée

Dans la lignée de près de 20 ans de contribution au pool NTP,
NTS (Network Time Security) est maintenant actif sur l'ensemble de notre pool.

La synchronisation temporelle est un composant critique de toute infrastructure informatique. Jusqu'à présent, le protocole NTP transmettait le temps en clair et sans authentification, exposant les systèmes à des attaques potentielles. Avec l'activation de NTS sur notre infrastructure, vos systèmes peuvent désormais vérifier cryptographiquement que le temps reçu provient bien de nos serveurs.

Sécurité de bout en bout
En complément de NTS, DNSSEC est activé sur l'ensemble de nos TLD qui le supportent (.biz, .com, .eu, .fr, .info, .net, .org). La chaîne de confiance est ainsi complète : résolution DNS authentifiée par DNSSEC, puis synchronisation temporelle authentifiée par NTS.

Sommaire

Pourquoi activer NTS maintenant ?
Les risques de sécurité sans NTS
Nos serveurs NTS disponibles
Configurer votre client NTS
Vérifier que NTS fonctionne
Questions fréquentes

Pourquoi Activer NTS Maintenant ?

NTS (Network Time Security), standardisé par la RFC 8915 en septembre 2020, représente une évolution majeure du protocole NTP. Voici pourquoi c'est le moment d'adopter cette technologie.

Une Infrastructure Encore Rare

Il n'existe qu'environ 60 à 70 serveurs NTS publics dans le monde, dont 45-50 en Europe. À titre de comparaison, le pool NTP européen compte 3 735 serveurs — l'infrastructure NTS est donc 100 fois plus rare.

En France, la couverture NTS est particulièrement faible. En activant NTS sur notre pool, RDEM Systems contribue à combler ce déficit et offre une alternative locale fiable.

Avec nos 11 serveurs NTS, nous devenons un contributeur significatif des fournisseurs de temps NTS.

L'Adoption S'Accélère

Ubuntu 25.10+

Chrony avec NTS activé par défaut — un point d'inflexion majeur pour l'adoption.

PTB Allemagne (2026)

L'institut de métrologie allemand abandonne son service NTP authentifié payant au profit de NTS gratuit.

Let's Encrypt (2024)

Déploiement de ntpd-rs (Rust) financé par ISRG/Prossimo pour leurs infrastructures critiques.

ICANN (2025-2027)

Financement du développement d'un pool NTS par la Trifecta Tech Foundation.

Pas de Pool NTS (pour l'instant)
Contrairement au pool.ntp.org classique, il n'existe pas encore de pool NTS fonctionnel. Les certificats TLS requis par NTS rendent le mécanisme de pooling traditionnel impossible. C'est pourquoi vous devez configurer des serveurs NTS spécifiques — et c'est exactement ce que nous vous proposons.

Arguments Techniques et Opérationnels

Bénéfice	Impact
Validation DNSSEC	DNSSEC dépend d'un temps exact pour valider les signatures. Un temps manipulé peut compromettre toute la chaîne DNS.
Certificats TLS/SSL	Un temps incorrect peut faire accepter des certificats expirés ou pas encore valides, ouvrant la porte aux attaques.
Authentification 2FA (TOTP)	Les tokens à usage unique (Google Authenticator, etc.) dépendent d'un temps synchronisé à +/- 30 secondes. En savoir plus →
Transactions financières	Les systèmes de trading, paiements et audit requièrent un horodatage fiable et inaltérable.
Logs et conformité	Un temps compromis invalide les journaux d'audit, problématique pour RGPD, PCI-DSS, SOC2.

Les Risques de Sécurité Sans NTS

Le protocole NTP, conçu dans les années 1980, n'intègre aucun mécanisme de sécurité natif. Les paquets NTP circulent en UDP sans chiffrement ni authentification, ce qui expose les systèmes à plusieurs types d'attaques bien documentées :

NTP Classique (Non Sécurisé)

Paquets en clair sur le réseau
Aucune authentification du serveur
Vulnérable aux attaques MITM
Usurpation de serveur possible
Manipulation du temps en transit

NTP avec NTS (Sécurisé)

Échange de clés via TLS 1.3
Authentification cryptographique
Protection contre les MITM
Vérification de l'identité serveur
Intégrité des données garantie

Les risques d'un temps non sécurisé
Une attaque sur la synchronisation temporelle peut avoir des conséquences graves :

Certificats TLS : Un temps manipulé peut faire accepter des certificats expirés ou pas encore valides
Authentification : Les tokens TOTP (2FA) dépendent d'un temps exact
Logs et audit : Des horodatages incorrects compromettent la traçabilité
Transactions : Les systèmes financiers dépendent d'un temps fiable

Comment fonctionne NTS ?

NTS (Network Time Security) est défini par la RFC 8915. Le protocole fonctionne en deux phases :

Phase d'établissement (NTS-KE) : Le client établit une connexion TLS 1.3 avec le serveur sur le port 4460. Ils échangent des cookies chiffrés qui seront utilisés pour authentifier les échanges NTP suivants.
Phase de synchronisation : Les requêtes NTP classiques (port 123) incluent désormais des extensions cryptographiques. Chaque réponse est authentifiée grâce aux cookies négociés précédemment.

Performance
L'impact sur les performances est minimal. La phase TLS n'intervient qu'au démarrage et lors du renouvellement des cookies (environ toutes les heures). Les échanges NTP eux-mêmes restent en UDP avec seulement quelques octets supplémentaires pour l'authentification.

Nos Serveurs NTS Disponibles

L'ensemble de notre pool NTP supporte désormais NTS. Vous pouvez utiliser n'importe lequel de ces serveurs pour une synchronisation sécurisée. Tous les TLD sont valides : .com, .fr, .eu, .net, .org, .be, .biz, .info.

Dual-Stack IPv4 + IPv6
Tous nos serveurs NTS sont accessibles en IPv4 et IPv6. Votre client sélectionnera automatiquement le protocole approprié selon votre connectivité réseau.

Serveurs Individuels (Stratum 2)

ntp-1.rdem-systems.com

ntp-2.rdem-systems.com

ntp-3.rdem-systems.com

ntp-4.rdem-systems.com

ntp-5.rdem-systems.com

ntp-6.rdem-systems.com

ntp-7.rdem-systems.com

ntp-8.rdem-systems.com

ntp-9.rdem-systems.com

ntp-10.rdem-systems.com

ntp-11.rdem-systems.com

Entrées Pool (Load-Balanced)

ntp-pool.rdem-systems.com

pa3.ntp-pool.rdem-systems.com

pa4.ntp-pool.rdem-systems.com

pa5.ntp-pool.rdem-systems.com

Conseil
Pour une configuration simple et résiliente, utilisez ntp-pool.rdem-systems.com qui distribue automatiquement les requêtes sur l'ensemble de notre infrastructure.

Référencés dans la communauté NTS mondiale
Nos serveurs sont listés dans le dépôt communautaire github.com/jauderho/nts-servers, la référence pour les serveurs NTS publics à travers le monde. Consultez également notre score NTP Pool pour vérifier l'absence de déviance temporelle sur notre infrastructure.

Configurer Votre Client NTS

Chrony est le client NTP recommandé pour utiliser NTS. Il est disponible sur la plupart des distributions Linux modernes et supporte nativement NTS depuis la version 4.0.

Configuration Chrony avec NTS

Éditez votre fichier /etc/chrony/chrony.conf (ou /etc/chrony.conf) :

# /etc/chrony/chrony.conf - Configuration NTS RDEM Systems

# Serveurs NTS RDEM Systems (sécurisés)
# Vous pouvez mixer les TLD : .com, .fr, .eu, .net, .org, .be, .biz, .info
server ntp-pool.rdem-systems.com iburst nts
server ntp-1.rdem-systems.fr iburst nts
server ntp-2.rdem-systems.eu iburst nts
server ntp-3.rdem-systems.net iburst nts

# Fichier de dérive
driftfile /var/lib/chrony/drift

# Autoriser les mises à jour importantes au démarrage
makestep 1.0 3

# Activer le mode temps réel
rtcsync

# Journalisation
logdir /var/log/chrony

Installation et Redémarrage

# Installation de Chrony (Debian/Ubuntu)
sudo apt update && sudo apt install chrony

# Ou sur RHEL/CentOS/Fedora
sudo dnf install chrony

# Redémarrage du service
sudo systemctl restart chronyd

# Vérification du statut
sudo systemctl status chronyd

Vérifier que NTS Fonctionne

Après avoir configuré Chrony avec NTS, vérifiez que l'authentification fonctionne correctement :

Commande chronyc sources

sudo chronyc -N sources

Vous devriez voir vos sources avec le flag N indiquant que NTS est actif :

MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* ntp-pool.rdem-systems.c>     2   6   377    23   -145us[ -201us] +/-   12ms
^+ ntp-1.rdem-systems.com       2   6   377    24   +234us[ +178us] +/-   15ms
^+ ntp-2.rdem-systems.com       2   6   377    25   -89us[ -145us] +/-   14ms

Vérifier l'état NTS

sudo chronyc -N authdata

Cette commande affiche les détails de l'authentification NTS pour chaque source :

Name/IP address         Mode KeyID Type KLen Last Atmp  NAK Cook CLen
=========================================================================
ntp-pool.rdem-systems.c> NTS     1   15  256  23m    0    0    8  100
ntp-1.rdem-systems.com   NTS     1   15  256  24m    0    0    8  100
ntp-2.rdem-systems.com   NTS     1   15  256  25m    0    0    8  100

Indicateurs de Bon Fonctionnement

Mode = NTS : L'authentification NTS est active
NAK = 0 : Aucune authentification rejetée
Cook > 0 : Des cookies sont disponibles pour les futures requêtes
KeyID et KLen : Clé de session établie avec succès

Questions Fréquentes

NTS fonctionne-t-il avec ntpd ?

Non, le daemon ntpd classique ne supporte pas NTS. Vous devez utiliser Chrony (recommandé), NTPsec ou ntpd-rs (Rust) pour bénéficier de NTS. Windows W32Time ne supporte pas non plus NTS.

Quel est l'impact sur les performances ?

L'impact est négligeable. La négociation TLS n'intervient qu'au démarrage et lors du renouvellement des cookies (environ toutes les heures). Les échanges NTP réguliers ajoutent seulement ~100 octets pour l'authentification.

Puis-je mixer NTS et NTP classique ?

Oui, Chrony peut utiliser simultanément des sources NTS et des sources NTP classiques. Cependant, pour une sécurité optimale, privilégiez les sources NTS.

Que se passe-t-il si NTS échoue ?

Par défaut, si NTS ne peut pas être établi, Chrony n'utilisera pas la source concernée. C'est un comportement sécurisé : mieux vaut ne pas synchroniser que synchroniser de manière non authentifiée.

Combien de serveurs NTS existent dans le monde ?

Seulement 60 à 70 serveurs NTS publics existent mondialement, dont environ 45-50 en Europe. Les leaders institutionnels sont Netnod (Suède, 12+ serveurs), PTB (Allemagne, 4 serveurs) et SIDN Labs (Pays-Bas). La France est sous-représentée, ce qui motive notre engagement.

Pourquoi n'y a-t-il pas de pool NTS comme pool.ntp.org ?

Le mécanisme de pooling traditionnel est incompatible avec NTS car chaque serveur nécessite son propre certificat TLS. Un projet financé par ICANN (2025-2027) travaille sur une solution, mais pour l'instant, il faut configurer les serveurs NTS individuellement.

Quels systèmes d'exploitation supportent NTS par défaut ?

Ubuntu 25.10+ activera Chrony avec NTS par défaut — un tournant majeur. RHEL/Fedora et SUSE documentent la configuration NTS. La plupart des distributions Linux modernes permettent d'activer NTS facilement avec Chrony.

💡 Vérifiez la compatibilité NTS de votre serveur avec le testeur ntp-tester.eu/nts

Testez Votre Synchronisation

Vérifiez que votre système est correctement synchronisé avec notre infrastructure.

Tester Maintenant

Retour à l'accueil | Notre serveur Stratum 1 | Notre score NTP Pool

Vérifiez si votre NTP est sécurisé avec NTS | Comprendre les menaces que NTS aide à prévenir

Audit NTP pour valider votre déploiement NTS