Depuis le début de l’année, il existe en Suisse trois serveurs de temps publics et sécurisés. Les serveurs de temps veillent à ce qu’une heure exacte soit transmise à tous les ordinateurs et appareils connectés au réseau et qu’ils se synchronisent sur cette heure.
Les serveurs NTP (Network Time Protocol) pour la synchronisation de l’heure étaient déjà publics jusqu’à présent. Mais ces dernières années, il est devenu de plus en plus important, par exemple pour l’authentification à deux facteurs ou la gestion des certificats, de disposer non pas de n’importe quelle heure, mais d’une heure correcte et fiable. Ce qui ne pouvait pas être garanti avec le protocole NTP utilisé jusqu’à présent.
Sommaire
Attaques contre les serveurs NTP
NTP a été développé au milieu des années 80, lorsque l’Internet était encore un petit espace numérique coopératif et convivial. C’est pourquoi presque personne n’a pensé à la manière d’éviter que des personnes mal intentionnées ne manipulent l’heure que les utilisateurs d’ordinateurs obtiennent et appliquent depuis leurs serveurs de réseau.
Entre-temps, les serveurs NTP publics utilisés jusqu’à présent à cet effet ne sont plus considérés comme absolument fiables, car l’expérience a montré qu’ils permettent à des cybercriminels d’attaquer la synchronisation de l’heure ou de la manipuler. L’utilisation de l’heure correcte et sa synchronisation font pourtant partie des bases essentielles du traitement et de la transmission des données. Des données horaires correctes sont par exemple importantes pour les applications cryptographiques. Des manipulations du NTP pourraient donc rendre le cryptage des données vulnérable et causer des dommages.
Extension du protocole pour les services de temps
Une procédure encore relativement récente appelée NTS (Network Time Security) doit exclure un tel sabotage des serveurs de temps. NTS a été publié en octobre 2020 et est une spécification de l’organisme de normalisation Internet Engineering Task Force (IETF) avec la participation du PTB allemand (Physikalisch-Technische Bundesanstalt), qui définit et diffuse l’heure légale en Allemagne.
NTS est quasiment une extension du protocole pour l’authentification des services NTP, jusqu’ici à peine sécurisés, par analogie avec le passage de HTTP à HTTPS. Il complète le mode client-serveur de NTP par deux sous-protocoles NTS. D’une part, huit cookies cryptographiques à usage unique sont initialement mis à la disposition du client via une connexion TLS (Transport Layer Security) (sécurisée), d’autre part, la réserve de cookies est à nouveau remplie à chaque interrogation NTP réussie. Les serveurs NTS peuvent bien sûr être utilisés comme des services NTP normaux, mais alors sans sécurité supplémentaire.
Besoin de rattrapage pour l’infrastructure NTS
Des serveurs de temps ou des services NTP sont proposés dans le monde entier, que ce soit par des entreprises ou des institutions publiques comme des universités. Le projet communautaire « NTP Pool » www.ntppool.org, une collection de milliers de serveurs de temps actifs, est également disponible à l’échelle mondiale. Jusqu’à présent, l’entreprise Cloudflare met des serveurs NTS publics à disposition dans le monde entier sur time.cloudflare.com ainsi que le PTB pour l’Allemagne. Ce dernier est accessible sous ptbtime1.ptb.de à ptbtime3.ptb.de avec un client NTS approprié. Depuis le début de l’année, il existe également trois serveurs pour la Suisse qui parlent le protocole de synchronisation horaire sécurisé.
Sous ntp.zeitgitter.net, ntp.trifence.ch et ntp.3eck.net, il est désormais possible d’obtenir une synchronisation horaire sécurisée. En Suisse comme au niveau international, il y a encore beaucoup de retard à rattraper en matière d’infrastructure NTS, explique un opérateur à heise online. Il espère que ces exemples encourageront d’autres communautés ainsi que des opérateurs NTP publics et privés à passer au NTS.
Lire aussi
