Serveurs de temps en Europe : qui fait vraiment du NTS ?
Tout le monde recopie les listes de serveurs de temps. Personne ne les mesure. Nous avons sondé 231 sources européennes depuis six réseaux différents, et vérifié une chose que les documentations affirment sans la prouver : qui sert réellement du NTS, la version authentifiée de NTP (RFC 8915).
Le résultat est sévère. Sur les 28 pays européens couverts, 13 servent du NTS. Les 15 autres n'en servent aucun : Croatie, Estonie, Grèce, Hongrie, Islande, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Norvège, Pologne, Portugal, Roumanie, Serbie.
La méthode, parce qu'elle change le résultat
Un port 4460 ouvert ne prouve rien. C'est l'erreur de la plupart des inventaires.
Un ALPN ntske/1 négocié ne prouve rien non plus. C'est la nôtre, jusqu'à ce
qu'on la corrige. Il existe trois états, pas deux :
- NTS utilisable — ALPN
ntske/1négocié et certificat valide pour le nom interrogé. C'est le seul cas où un client conforme peut s'en servir. - NTS inutilisable — le serveur NTS-KE écoute, l'ALPN passe, mais le certificat est émis pour un autre nom. La RFC 8915 impose la validation : chrony et ntpsec refusent. Fonctionnellement, il n'y a pas de NTS.
- Pas de NTS — port fermé, muet, ou pas de NTS-KE.
Le stratum est mesuré (SNTP v4), pas recopié. L'IPv6 n'est compté que s'il répond : publier un AAAA ne suffit pas.
Ce que cette exigence a révélé : ntp.switch.ch
Le réseau académique national suisse fait l'effort du NTS — ce que la quasi-totalité du continent ne fait
pas. Son serveur NTS-KE écoute, son certificat Let's Encrypt est parfaitement valide en chaîne. Mais il est émis
pour swice-nts1.switch.ch, et pas pour ntp.switch.ch, le nom que la documentation
publie. Un client conforme échoue sur la validation du nom.
Ce n'est ni un mensonge ni un oubli : c'est une erreur d'exploitation,
et elle est invisible à tout test qui ne valide pas le certificat. Le vrai endpoint,
swice-nts1.switch.ch, fonctionne : stratum 1, NTS, certificat valide. La Suisse a donc bien du
NTS — sous un nom que personne ne publie.
Six points d'observation, six systèmes autonomes
Une mesure depuis un seul réseau ment : une liste de contrôle d'accès, une limitation de débit ou une restriction géographique produit un faux négatif. Nous avons donc sondé depuis six AS distincts :
- RDEM Systems —
AS206014: notre AS, le seul que nous opérons. - Free —
AS12322: le FAI de nos bureaux. Nous en sommes clients, nous ne le gérons pas. - Arelion —
AS1299: transitaire international. - IELO —
AS29075: transitaire français. - IPSET —
AS199275: transitaire français. - Contabo —
AS51167: hébergeur allemand.
Cinq de ces six réseaux ne nous appartiennent pas. AS206014 est le seul que nous
opérons. Les cinq autres appartiennent à des tiers que nous ne contrôlons pas : le FAI de nos bureaux
(Free), trois transitaires (Arelion, IELO, IPSET) et un hébergeur (Contabo). Une mesure qu'on ne
ferait que depuis son propre réseau ne prouverait pas grand-chose ; c'est la convergence de six réseaux
indépendants qui rend le chiffre défendable.
Les six réseaux donnent exactement le même résultat sur le NTS : 79 endpoints, sans un seul désaccord. Cette convergence est ce qui rend le chiffre solide — ce n'est pas un artefact de notre point de vue.
Le NTS en Europe, pays par pays
| Pays | Endpoints NTS | Joignables | Dans le pool | Qui sert le NTS |
|---|---|---|---|---|
| Allemagne | 18 | 28 / 29 | 541 | FAU, FAU Erlangen-Nur, Hetzner Online, Jörg Mo |
| France | 13 | 41 / 56 | 226 | Hubert Viarouge, RDEM Systems, System76 |
| Suède | 12 | 16 / 29 | 63 | Netnod |
| Pays-Bas | 9 | 15 / 15 | 201 | Nothing to hide, Rick Betting, SIDN Labs, SIDN |
| Suisse | 7 | 13 / 17 | 101 | Adrian Zaugg, Martino Dell'Amb, SWITCH, Ueli H |
| Royaume-Uni | 7 | 9 / 9 | 250 | Hal Murray, Terry Burton, University of Ca |
| Slovénie | 4 | 6 / 6 | — | chrony.eu |
| Autriche | 3 | 5 / 6 | — | BEV, University of Vi |
| Belgique | 1 | 4 / 4 | — | Team Belgium |
| Tchéquie | 1 | 3 / 4 | — | Jiří Činčura |
| Danemark | 1 | 2 / 2 | — | DFM |
| Finlande | 1 | 4 / 6 | — | miuku.net |
| Espagne | 1 | 3 / 4 | — | ROA |
| Croatie | aucun | 0 / 2 | — | — |
| Estonie | aucun | 2 / 2 | — | — |
| Grèce | aucun | 1 / 2 | — | — |
| Hongrie | aucun | 0 / 1 | — | — |
| Islande | aucun | 2 / 2 | — | — |
| Irlande | aucun | 2 / 2 | — | — |
| Italie | aucun | 4 / 4 | 38 | — |
| Lettonie | aucun | 1 / 1 | — | — |
| Lituanie | aucun | 1 / 1 | — | — |
| Luxembourg | aucun | 2 / 2 | — | — |
| Norvège | aucun | 5 / 5 | — | — |
| Pologne | aucun | 3 / 3 | — | — |
| Portugal | aucun | 1 / 4 | — | — |
| Roumanie | aucun | 0 / 2 | — | — |
| Serbie | aucun | 1 / 1 | — | — |
Ce que les documentations ne disent pas
En confrontant le déclaratif au mesuré, 9 endpoints présentent un écart — dans les deux sens :
ntp1.fau.de— FAU Erlangen-Nuremberg (Allemagne) : sert du NTS, ne le documente pas.ntp1.hetzner.de— Hetzner Online (Allemagne) : sert du NTS, ne le documente pas.ntp2.hetzner.de— Hetzner Online (Allemagne) : sert du NTS, ne le documente pas.ntp3.hetzner.de— Hetzner Online (Allemagne) : sert du NTS, ne le documente pas.ntp.zeitgitter.net— Zeitgitter / Trifence (Suisse) : annonce du NTS, ne le sert pas.ntp.trifence.ch— Trifence AG (Suisse) : annonce du NTS, ne le sert pas.nts1.ntp.hr— UNIZG FER REMLAB (Croatie) : annonce du NTS, ne le sert pas.nts2.ntp.hr— UNIZG FER REMLAB (Croatie) : annonce du NTS, ne le sert pas.time.signorini.ch— Attilio Signorini (Suisse) : annonce du NTS, ne le sert pas.
Les deux derniers cas sont les plus gênants : un opérateur qui annonce du NTS sans le servir expose ses utilisateurs à croire leur chaîne de temps authentifiée alors qu'elle ne l'est pas. Les quatre premiers sont l'inverse — du NTS opérationnel que personne ne sait utiliser, faute de documentation.
Le pool NTP : 2 391 serveurs, et pas un seul NTS possible
Une objection se forme immédiatement : « vous avez raté 226 serveurs français ». Non — nous les avons volontairement exclus, et pour une raison qui n'est pas un aveu de limite mais un fait d'architecture.
Le pool ne peut pas servir de NTS — non par négligence, mais par construction. Le pool repose sur le fait que n'importe qui peut contribuer sans être audité. NTS repose sur le fait que le client peut vérifier cryptographiquement à qui il parle. Les deux propriétés s'excluent.
On objectera, à juste titre, que la RFC 8915 §4.1.7 autorise explicitement un serveur
de clés NTS-KE à rediriger le client vers un autre serveur de temps que lui-même. Un
nts.pool.ntp.org central, opéré par le projet et portant un certificat parfaitement valide,
pourrait donc distribuer les cookies puis renvoyer vers n'importe quelle machine du pool. Le problème du
certificat est contournable.
Mais le serveur de temps vers lequel on redirige doit pouvoir déchiffrer le cookie — donc partager la clé de chiffrement des cookies avec le serveur de clés. La RFC laisse ce partage hors périmètre et lui consacre une section de sécurité dédiée (§8.2, Cookie Encryption Key Compromise). Or distribuer cette clé aux ~2 400 opérateurs bénévoles du pool européen, ce serait donner à chacun d'eux le pouvoir de forger des cookies valides, donc d'usurper l'identité de tous les autres. NTS perdrait exactement la propriété pour laquelle il existe : savoir à qui l'on parle.
Ce n'est pas un défaut du pool, et ce n'est pas un défaut de NTS : c'est un choix d'architecture, et il faut trancher. Le pool donne le volume ; il ne peut pas donner la confiance.
La nuance à ne pas rater : ce qui ne peut pas faire de NTS, c'est l'entrée pool, pas la machine derrière. Certaines de ces machines servent du NTS sous leur propre nom, avec leur propre certificat — les nôtres, par exemple, qui sont dans le pool et font du NTS. C'est la seule façon d'avoir les deux, et c'est exactement ce que ce registre recense. Dire « aucun serveur du pool ne fait de NTS » serait faux.
Le pool donne le volume : 2 391 serveurs en Europe, 226 en France, 541 en Allemagne (relevé sur ntppool.org le 12 juillet 2026). Mais il les rend anonymes et interchangeables — c'est sa force pour la disponibilité, et c'est ce qui rend le NTS impraticable dans son modèle actuel.
Le pool mesure une quantité ; ce registre mesure une chaîne de confiance. Nous ne recensons que les serveurs qu'on peut nommer, vérifier et tenir pour responsables. Ce sont les seuls sur lesquels on puisse fonder une conformité.
Et la France ?
Aucune source institutionnelle française ne sert de NTS. Ni l'Observatoire de Paris, qui porte pourtant la réalisation nationale UTC(OP). Ni Renater, dont le serveur stratum 1 est bien vivant. Ni aucune des universités que nous avons sondées.
Les seuls opérateurs français à servir du NTS sont privés, et ils sont trois : RDEM Systems (12 serveurs), System76 (un nœud parisien) et Hubert Viarouge (un serveur). À comparer à l'Allemagne, où l'institut national de métrologie lui-même — la PTB — sert du NTS sur quatre serveurs, en IPv6.
Zoom sur la France : les serveurs NTP et NTS français : le détail complet — pool
fr.pool.ntp.org, stratum 1 institutionnels, serveurs académiques, hyperscalers, et les
serveurs disparus depuis la dernière campagne — fait l'objet d'une page dédiée, remesurée à chaque sondage.
Sources et crédits
Ce registre n'est pas parti de rien. Il agrège, vérifie et mesure des sources existantes — et il doit les citer.
- jauderho/nts-servers — la liste de référence des serveurs NTS. 50 des endpoints européens de notre inventaire en proviennent. C'est une liste de NTS déclaré : nous y avons ajouté la mesure, et c'est elle qui a révélé que deux de ses entrées (Trifence, Zeitgitter) n'en servent pas, et que quatre serveurs qui n'y figurent pas (Hetzner, FAU) en servent pourtant.
- Les documentations officielles des instituts de métrologie et des réseaux académiques : PTB (DE), Netnod (SE), METAS (CH), INRiM (IT), GUM (PL), ROA (ES), BEV (AT), NPL (UK), SIDN/TimeNL (NL), CERT.LV, ISNIC, ARNES, DMDM, DFM, VTT MIKES, et les NREN européens.
- Le registre Stratum 1 de la Network Time Foundation.
- ntppool.org — pour les volumétries du pool (2 391 serveurs en Europe, 226 en France, relevé du 12 juillet 2026).
Ce que nous apportons, c'est la mesure — pas la compilation. Chaque endpoint de ces sources a
été sondé depuis six réseaux, avec validation du certificat. Le CSV publié porte la colonne
verification qui indique, ligne par ligne, d'où vient l'entrée et quand elle a été mesurée.
Ce registre est incomplet. Aidez-nous.
Constituer cet inventaire est un travail considérable, et nous ne prétendrons pas l'avoir terminé. Chaque pays demande de retrouver son institut de métrologie, son réseau académique, ses opérateurs — puis de vérifier que les noms publiés existent encore. Beaucoup n'existent plus.
Ce que nous n'avons pas couvert, et que nous ne prétendrons pas connaître :
- L'Europe centrale et orientale — Pologne, Roumanie, Hongrie, Slovaquie, Croatie et les pays baltes sont sondés de façon très partielle. Quand nous écrivons qu'un de ces pays ne sert pas de NTS, cela signifie « aucune des sources que nous avons trouvées n'en sert » — pas « il n'y en a aucune ». C'est un trou connu, pas un fait mesuré.
- Chypre et Malte n'exposent, à notre connaissance, aucune source de temps publique. Si c'est faux, dites-le-nous.
Deux constats à ne pas confondre avec un oubli : GARR (réseau académique italien) et DFN (allemand) ne publient aucun serveur NTP public — nous avons testé 12 et 6 variantes de noms, toutes inexistantes. Ce ne sont pas des fournisseurs de temps, ce sont des réseaux de transit. Leur absence de ce tableau est un fait, pas une lacune.
Quel serveur NTP utilisez-vous ? Si vous exploitez une source de temps publique, si votre pays en a une que nous avons manquée, ou si vous constatez une erreur dans nos mesures — dites-le-nous. Nous l'ajoutons, nous la mesurons depuis nos six réseaux, et nous republions. Les données sont sous licence CC BY 4.0 : elles vous appartiennent autant qu'à nous.
Déclarer un serveur de temps →
Les limites de ce travail
Un instantané, pas une vérité éternelle. Ces chiffres datent du 12 juillet 2026. Un serveur peut activer NTS demain, ou tomber ce soir. Nous republions à chaque campagne.
Six réseaux, tous européens. Un serveur qui filtre l'Europe entière apparaîtrait muet à tort. Nous n'avons pas de sonde hors d'Europe.
Un serveur muet n'est pas forcément mort. Une ACL, un filtrage par IP ou une limitation de débit produit le même symptôme qu'une panne. Nous distinguons « ne résout plus » (le nom de domaine a disparu, c'est sans appel) de « ne répond pas » (qui reste ambigu).
Les données, en téléchargement
Une mesure qu'on ne peut pas contredire ne vaut rien. Voici donc tout, sans filtre :
- L'inventaire complet (CSV) —
267 hostnames sondés, 231 machines comptées. La colonne
counteddit, ligne par ligne, si l'entrée compte : les alias DNS (plusieurs noms pour une même machine) et les zones pool sont sondés pour la transparence mais exclus des décomptes. Filtrez surcounted=yeset vous retrouvez exactement les chiffres de cette page. Deux colonnes distinctes :nts_documented(ce que l'opérateur annonce) etnts_measured(ce que nous avons mesuré) — les 9 écarts se lisent directement dans le fichier. - La mesure brute horodatée (JSON) — stratum, refid, dispersion racine, RTT, IPv6, NTS, pour chaque endpoint, avec la méthode et les limites embarquées dans le fichier.
Une précision d'honnêteté : ntp-pool.rdem-systems.com est l'entrée
load-balancée vers nos douze serveurs, pas un treizième serveur. Elle est exclue de tous
les décomptes. Sur les 79 endpoints NTS mesurés en Europe, RDEM en opère 12, soit 16 %. C'est le premier opérateur français, et loin d'être le premier européen : l'Allemagne en compte 18.
Licence CC BY 4.0 : reprenez ces données, contredisez-les, republiez-les. Nous préférons publier une méthode critiquable qu'un chiffre invérifiable.
Outils NTP gratuits
Trois outils indépendants pour diagnostiquer votre synchronisation de temps :