Serveurs de temps en Europe : qui fait vraiment du NTS ?

Par Richard DEMONGEOT · 12 juillet 2026 · Mesure originale · Dernier sondage : 12 juillet 2026

Tout le monde recopie les listes de serveurs de temps. Personne ne les mesure. Nous avons sondé 231 sources européennes depuis six réseaux différents, et vérifié une chose que les documentations affirment sans la prouver : qui sert réellement du NTS, la version authentifiée de NTP (RFC 8915).

Le résultat est sévère. Sur les 28 pays européens couverts, 13 servent du NTS. Les 15 autres n'en servent aucun : Croatie, Estonie, Grèce, Hongrie, Islande, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Norvège, Pologne, Portugal, Roumanie, Serbie.

231
sources sondées
79
endpoints NTS confirmés
15
pays sans aucun NTS
6
réseaux d'observation

La méthode, parce qu'elle change le résultat

Un port 4460 ouvert ne prouve rien. C'est l'erreur de la plupart des inventaires.

Un ALPN ntske/1 négocié ne prouve rien non plus. C'est la nôtre, jusqu'à ce qu'on la corrige. Il existe trois états, pas deux :

  • NTS utilisableALPN ntske/1 négocié et certificat valide pour le nom interrogé. C'est le seul cas où un client conforme peut s'en servir.
  • NTS inutilisable — le serveur NTS-KE écoute, l'ALPN passe, mais le certificat est émis pour un autre nom. La RFC 8915 impose la validation : chrony et ntpsec refusent. Fonctionnellement, il n'y a pas de NTS.
  • Pas de NTS — port fermé, muet, ou pas de NTS-KE.

Le stratum est mesuré (SNTP v4), pas recopié. L'IPv6 n'est compté que s'il répond : publier un AAAA ne suffit pas.

Ce que cette exigence a révélé : ntp.switch.ch

Le réseau académique national suisse fait l'effort du NTS — ce que la quasi-totalité du continent ne fait pas. Son serveur NTS-KE écoute, son certificat Let's Encrypt est parfaitement valide en chaîne. Mais il est émis pour swice-nts1.switch.ch, et pas pour ntp.switch.ch, le nom que la documentation publie. Un client conforme échoue sur la validation du nom.

Ce n'est ni un mensonge ni un oubli : c'est une erreur d'exploitation, et elle est invisible à tout test qui ne valide pas le certificat. Le vrai endpoint, swice-nts1.switch.ch, fonctionne : stratum 1, NTS, certificat valide. La Suisse a donc bien du NTS — sous un nom que personne ne publie.

Six points d'observation, six systèmes autonomes

Une mesure depuis un seul réseau ment : une liste de contrôle d'accès, une limitation de débit ou une restriction géographique produit un faux négatif. Nous avons donc sondé depuis six AS distincts :

Cinq de ces six réseaux ne nous appartiennent pas. AS206014 est le seul que nous opérons. Les cinq autres appartiennent à des tiers que nous ne contrôlons pas : le FAI de nos bureaux (Free), trois transitaires (Arelion, IELO, IPSET) et un hébergeur (Contabo). Une mesure qu'on ne ferait que depuis son propre réseau ne prouverait pas grand-chose ; c'est la convergence de six réseaux indépendants qui rend le chiffre défendable.

Les six réseaux donnent exactement le même résultat sur le NTS : 79 endpoints, sans un seul désaccord. Cette convergence est ce qui rend le chiffre solide — ce n'est pas un artefact de notre point de vue.

Le NTS en Europe, pays par pays

PaysEndpoints NTSJoignablesDans le poolQui sert le NTS
Allemagne1828 / 29541FAU, FAU Erlangen-Nur, Hetzner Online, Jörg Mo
France1341 / 56226Hubert Viarouge, RDEM Systems, System76
Suède1216 / 2963Netnod
Pays-Bas915 / 15201Nothing to hide, Rick Betting, SIDN Labs, SIDN
Suisse713 / 17101Adrian Zaugg, Martino Dell'Amb, SWITCH, Ueli H
Royaume-Uni79 / 9250Hal Murray, Terry Burton, University of Ca
Slovénie46 / 6chrony.eu
Autriche35 / 6BEV, University of Vi
Belgique14 / 4Team Belgium
Tchéquie13 / 4Jiří Činčura
Danemark12 / 2DFM
Finlande14 / 6miuku.net
Espagne13 / 4ROA
Croatieaucun0 / 2
Estonieaucun2 / 2
Grèceaucun1 / 2
Hongrieaucun0 / 1
Islandeaucun2 / 2
Irlandeaucun2 / 2
Italieaucun4 / 438
Lettonieaucun1 / 1
Lituanieaucun1 / 1
Luxembourgaucun2 / 2
Norvègeaucun5 / 5
Pologneaucun3 / 3
Portugalaucun1 / 4
Roumanieaucun0 / 2
Serbieaucun1 / 1

Ce que les documentations ne disent pas

En confrontant le déclaratif au mesuré, 9 endpoints présentent un écart — dans les deux sens :

Les deux derniers cas sont les plus gênants : un opérateur qui annonce du NTS sans le servir expose ses utilisateurs à croire leur chaîne de temps authentifiée alors qu'elle ne l'est pas. Les quatre premiers sont l'inverse — du NTS opérationnel que personne ne sait utiliser, faute de documentation.

Le pool NTP : 2 391 serveurs, et pas un seul NTS possible

Une objection se forme immédiatement : « vous avez raté 226 serveurs français ». Non — nous les avons volontairement exclus, et pour une raison qui n'est pas un aveu de limite mais un fait d'architecture.

Le pool ne peut pas servir de NTS — non par négligence, mais par construction. Le pool repose sur le fait que n'importe qui peut contribuer sans être audité. NTS repose sur le fait que le client peut vérifier cryptographiquement à qui il parle. Les deux propriétés s'excluent.

On objectera, à juste titre, que la RFC 8915 §4.1.7 autorise explicitement un serveur de clés NTS-KE à rediriger le client vers un autre serveur de temps que lui-même. Un nts.pool.ntp.org central, opéré par le projet et portant un certificat parfaitement valide, pourrait donc distribuer les cookies puis renvoyer vers n'importe quelle machine du pool. Le problème du certificat est contournable.

Mais le serveur de temps vers lequel on redirige doit pouvoir déchiffrer le cookie — donc partager la clé de chiffrement des cookies avec le serveur de clés. La RFC laisse ce partage hors périmètre et lui consacre une section de sécurité dédiée (§8.2, Cookie Encryption Key Compromise). Or distribuer cette clé aux ~2 400 opérateurs bénévoles du pool européen, ce serait donner à chacun d'eux le pouvoir de forger des cookies valides, donc d'usurper l'identité de tous les autres. NTS perdrait exactement la propriété pour laquelle il existe : savoir à qui l'on parle.

Ce n'est pas un défaut du pool, et ce n'est pas un défaut de NTS : c'est un choix d'architecture, et il faut trancher. Le pool donne le volume ; il ne peut pas donner la confiance.

La nuance à ne pas rater : ce qui ne peut pas faire de NTS, c'est l'entrée pool, pas la machine derrière. Certaines de ces machines servent du NTS sous leur propre nom, avec leur propre certificat — les nôtres, par exemple, qui sont dans le pool et font du NTS. C'est la seule façon d'avoir les deux, et c'est exactement ce que ce registre recense. Dire « aucun serveur du pool ne fait de NTS » serait faux.

Le pool donne le volume : 2 391 serveurs en Europe, 226 en France, 541 en Allemagne (relevé sur ntppool.org le 12 juillet 2026). Mais il les rend anonymes et interchangeables — c'est sa force pour la disponibilité, et c'est ce qui rend le NTS impraticable dans son modèle actuel.

Le pool mesure une quantité ; ce registre mesure une chaîne de confiance. Nous ne recensons que les serveurs qu'on peut nommer, vérifier et tenir pour responsables. Ce sont les seuls sur lesquels on puisse fonder une conformité.

Et la France ?

Aucune source institutionnelle française ne sert de NTS. Ni l'Observatoire de Paris, qui porte pourtant la réalisation nationale UTC(OP). Ni Renater, dont le serveur stratum 1 est bien vivant. Ni aucune des universités que nous avons sondées.

Les seuls opérateurs français à servir du NTS sont privés, et ils sont trois : RDEM Systems (12 serveurs), System76 (un nœud parisien) et Hubert Viarouge (un serveur). À comparer à l'Allemagne, où l'institut national de métrologie lui-même — la PTB — sert du NTS sur quatre serveurs, en IPv6.

Zoom sur la France : les serveurs NTP et NTS français : le détail complet — pool fr.pool.ntp.org, stratum 1 institutionnels, serveurs académiques, hyperscalers, et les serveurs disparus depuis la dernière campagne — fait l'objet d'une page dédiée, remesurée à chaque sondage.

Sources et crédits

Ce registre n'est pas parti de rien. Il agrège, vérifie et mesure des sources existantes — et il doit les citer.

Ce que nous apportons, c'est la mesure — pas la compilation. Chaque endpoint de ces sources a été sondé depuis six réseaux, avec validation du certificat. Le CSV publié porte la colonne verification qui indique, ligne par ligne, d'où vient l'entrée et quand elle a été mesurée.

Ce registre est incomplet. Aidez-nous.

Constituer cet inventaire est un travail considérable, et nous ne prétendrons pas l'avoir terminé. Chaque pays demande de retrouver son institut de métrologie, son réseau académique, ses opérateurs — puis de vérifier que les noms publiés existent encore. Beaucoup n'existent plus.

Ce que nous n'avons pas couvert, et que nous ne prétendrons pas connaître :

  • L'Europe centrale et orientale — Pologne, Roumanie, Hongrie, Slovaquie, Croatie et les pays baltes sont sondés de façon très partielle. Quand nous écrivons qu'un de ces pays ne sert pas de NTS, cela signifie « aucune des sources que nous avons trouvées n'en sert » — pas « il n'y en a aucune ». C'est un trou connu, pas un fait mesuré.
  • Chypre et Malte n'exposent, à notre connaissance, aucune source de temps publique. Si c'est faux, dites-le-nous.

Deux constats à ne pas confondre avec un oubli : GARR (réseau académique italien) et DFN (allemand) ne publient aucun serveur NTP public — nous avons testé 12 et 6 variantes de noms, toutes inexistantes. Ce ne sont pas des fournisseurs de temps, ce sont des réseaux de transit. Leur absence de ce tableau est un fait, pas une lacune.

Quel serveur NTP utilisez-vous ? Si vous exploitez une source de temps publique, si votre pays en a une que nous avons manquée, ou si vous constatez une erreur dans nos mesures — dites-le-nous. Nous l'ajoutons, nous la mesurons depuis nos six réseaux, et nous republions. Les données sont sous licence CC BY 4.0 : elles vous appartiennent autant qu'à nous.

Déclarer un serveur de temps →

Les limites de ce travail

Un instantané, pas une vérité éternelle. Ces chiffres datent du 12 juillet 2026. Un serveur peut activer NTS demain, ou tomber ce soir. Nous republions à chaque campagne.

Six réseaux, tous européens. Un serveur qui filtre l'Europe entière apparaîtrait muet à tort. Nous n'avons pas de sonde hors d'Europe.

Un serveur muet n'est pas forcément mort. Une ACL, un filtrage par IP ou une limitation de débit produit le même symptôme qu'une panne. Nous distinguons « ne résout plus » (le nom de domaine a disparu, c'est sans appel) de « ne répond pas » (qui reste ambigu).

Les données, en téléchargement

Une mesure qu'on ne peut pas contredire ne vaut rien. Voici donc tout, sans filtre :

Une précision d'honnêteté : ntp-pool.rdem-systems.com est l'entrée load-balancée vers nos douze serveurs, pas un treizième serveur. Elle est exclue de tous les décomptes. Sur les 79 endpoints NTS mesurés en Europe, RDEM en opère 12, soit 16 %. C'est le premier opérateur français, et loin d'être le premier européen : l'Allemagne en compte 18.

Licence CC BY 4.0 : reprenez ces données, contredisez-les, republiez-les. Nous préférons publier une méthode critiquable qu'un chiffre invérifiable.

Outils NTP gratuits

Trois outils indépendants pour diagnostiquer votre synchronisation de temps :