Votre iPhone, votre serveur Windows, les équipements réseau de votre banque interrogent par défaut un serveur américain pour connaître l'heure exacte. C'est le Network Time Protocol (NTP), un protocole créé il y a plus de 40 ans, en 1985. C'est aussi la base de toute la sécurité numérique. Et en Europe, personne n'a jamais vraiment cherché à en reprendre le contrôle.
Tout appareil connecté a besoin de connaître l'heure précise. Sans synchronisation fiable, les certificats expirent, les authentifications échouent et les journaux de sécurité deviennent inexploitables. NTP, c'est l'un de ces rares protocoles dont personne ne parle quand tout fonctionne, mais dont tout le monde se rappelle soudainement quand quelque chose se casse. En Europe, on a toute la technologie nécessaire, mais on ne peut rien en faire.
NTP, un protocole qui reste dans l'ombre mais dont tout dépend
NTP a été conçu en 1985 par David Mills, chercheur à l'Université du Delaware. Son rôle est relativement simple ; il permet à n'importe quelle machine de connaître l'heure exacte en interrogeant un serveur de référence via Internet. Ce mécanisme fonctionne en couches, appelées "strates".
Imaginez une pyramide. Au sommet, la strate 0, on retrouve une horloge atomique au césium ou un récepteur GPS, capable de mesurer le temps à la nanoseconde. Cet appareil n'est pas directement relié à Internet. Il est branché en local à un serveur de strate 1, lequel en lit l'heure et la diffuse sur le réseau. Ce serveur de strate 1 est la première source de confiance accessible via Internet. Il n'en existe que quelques centaines dans le monde, opérés par des laboratoires de métrologie, des agences gouvernementales ou de grands opérateurs. En dessous, les serveurs de strate 2 se synchronisent sur ces références et répondent aux requêtes du grand public. Nos ordinateurs, téléphones, routeurs interrogent en général un serveur de strate 2 ou 3. Plus on descend dans la pyramide, plus on s'éloigne de la source originale, et plus l'heure peut légèrement dériver. Mais dans tous les cas, la chaîne remonte toujours vers la strate 0. Et pour la quasi-totalité des serveurs dans le monde, cette strate 0 est un récepteur GPS américain.
Ce qui compte, c'est la précision. NTP maintient des horloges synchronisées à quelques millisecondes près sur un réseau local, et à quelques dizaines de millisecondes sur Internet. Alors, oui… pour un humain, ça n'a aucun sens. Mais pour un système informatique, cette précision est cruciale. C'est elle qui permet à deux machines distantes de s'authentifier mutuellement, de valider un certificat ou de reconstituer une chronologie d'événements de sécurité.
Des serveurs américains par défaut
Quand on démarre un iPhone, une machine sous Windows 11 ou un routeur domestique, il contacte un serveur NTP pour se caler sur l'heure. Ce serveur, on ne le choisit pas. Il a été configuré par défaut par l'éditeur du système d'exploitation, avant même que l'appareil ne soit allumé pour la première fois.
Pour Apple, c'est time.apple.com. Pour Microsoft, time.windows.com. Pour Google, time.google.com. Ces trois serveurs sont américains, opérés par trois entreprises privées soumises au droit américain. Ils traitent des centaines de millions de requêtes quotidiennes en provenance du monde entier.
Il existe aussi la Network Time Foundation, ntp.org, laquelle fonctionne différemment. Des milliers de volontaires mettent à disposition leurs serveurs NTP, et les distribuent selon la localisation géographique du demandeur. Sur le papier, l'architecture est plus résiliente. En pratique, la fondation qui gère ce pool est basée aux États-Unis, et sa gouvernance reste américaine.
L'heure, à la base de la sécurité informatique
Si un décalage d'horloge de quelques secondes n'a pas l'air dangereux, il peut pourtant avoir des conséquences très concrètes.
Prenons, TLS, le protocole qui sécurise les connexions HTTPS. Celui-ci vérifie systématiquement la date d'un certificat. Si l'horloge d'un serveur dévie de plus de quelques minutes, le certificat apparaît comme expiré (ou pas encore valide). La connexion est refusée. Un simple décalage temporel peut ainsi rendre inaccessible un service interne, une API ou un site. Kerberos, le protocole d'authentification utilisé dans les environnements Windows et dans la plupart des infrastructures d'entreprise, est encore plus strict : il refuse toute requête dont l'horodatage dépasse cinq minutes d'écart avec le serveur. C'est une protection contre les attaques dites "replay". Celles-ci consistent à rejouer une session capturée. Si les horloges ne sont plus synchronisées, les employés ne peuvent plus se connecter et les applications ne peuvent plus communiquer.
Dans les outils d'analyse et de corrélation de sécurité (SIEM), les journaux arrivent de dizaines de sources simultanées. Pour reconstituer une attaque ou déclencher une alerte, ces données doivent partager une même référence temporelle. Si ce n'est pas le cas, les événements s'affichent dans le mauvais ordre, et les alertes passent entre les mailles.
Quand le NTP devient un vecteur d'attaque
Le protocole peut être détourné de deux façons principales. La première, le "time shifting", consiste à interposer un faux serveur NTP entre une cible et sa source légitime. Si l'attaquant parvient à décaler l'horloge de quelques minutes, il peut invalider des certificats encore valides, ou au contraire forcer l'acceptation de sessions que le système aurait dû rejeter. Il peut aussi faire rejouer des authentifications récemment expirées. Ce type d'attaque ne casse aucun algorithme cryptographique. Il contourne simplement la sécurité via un procédé qui n'est généralement pas surveillé.
Il y a aussi l'amplification NTP. Certains serveurs NTP mal configurés répondent à une requête courte par une réponse volumineuse. Un attaquant peut envoyer des requêtes en usurpant l'adresse IP de sa victime. En retour, cette dernière reçoit une avalanche. En février 2014, une attaque de ce type contre un client de Cloudflare a atteint 400 gigabits par seconde, en mobilisant 4 529 serveurs NTP vulnérables sur 1 298 réseaux différents. Il existe une version sécurisée du protocole, NTS (Network Time Security), standardisée en octobre 2020 sous la référence RFC 8915, laquelle ajoute une couche d'authentification cryptographique. Quelques grands opérateurs l'ont déployée. Son adoption reste cependant marginale.
La fameuse seconde intercalaire
Le 30 juin 2012, une "seconde intercalaire" a été ajoutée à l'heure universelle. Il s'agissait d'une correction mineure effectuée périodiquement pour compenser le ralentissement de la rotation terrestre. NTP est chargé de signaler cet ajout aux systèmes connectés. Un bug dans le noyau Linux de l'époque avait provoqué une réaction en chaîne. En recevant le signal NTP d'insertion de cette seconde supplémentaire, des milliers de serveurs sont tombés en boucle de traitement à 100% de charge CPU. Reddit, LinkedIn, Mozilla, Yelp et le système de réservation Amadeus Altea sont tombés dans l'heure qui suivit. Aucune attaque, aucun acteur malveillant. Juste une mauvaise gestion d'un signal NTP par un système d'exploitation utilisé par des millions de serveurs dans le monde.
Le même incident s'est reproduit, à moindre échelle, lors de la seconde intercalaire de juin 2015. Depuis, les grandes plateformes ont développé des techniques de "smearing", lesquelles consistent à diluer l'ajout de cette seconde sur plusieurs heures pour éviter les plantages. Mais ces méthodes ne sont pas standardisées et varient d'un opérateur à l'autre.
Galileo, une alternative encore et toujours ignorée
Pour mesurer le temps à la nanoseconde, les serveurs de strate 0 s'appuient majoritairement sur le signal GPS. Si on associe le GPS à la navigation, aux cartes, à la localisation, c'est d'abord un système de temps. Chaque satellite embarque plusieurs horloges atomiques et diffuse en continu un signal horodaté. Notre téléphone calcule sa position en mesurant le décalage entre les signaux reçus de plusieurs satellites. Forcément, cela suppose que ces signaux soient parfaitement synchronisés à la nanoseconde. C'est cette précision temporelle que les serveurs NTP de strate 0 viennent lire, pas pour se localiser, mais pour connaître l'heure avec une exactitude qu'aucune horloge locale ne peut atteindre à moindre coût.
Le GPS est un système militaire américain. Il est opéré par le Département de la Défense des États-Unis et contrôlé par la United States Space Force. Jusqu'en 2000, le DoD appliquait une dégradation volontaire du signal civil, appelée "Selective Availability". On s'en doute, la logique était militaire et visait à empêcher un adversaire d'utiliser le GPS pour guider des missiles ou des drones avec précision. Concrètement, des erreurs aléatoires et imprévisibles étaient introduites dans les données d'horloge transmises par les satellites. Les récepteurs civils obtenaient alors une position fausse de plusieurs dizaines de mètres, et une heure faussée de plusieurs centaines de nanosecondes. Les récepteurs militaires américains, eux, utilisaient un signal chiffré non altéré.
Bill Clinton a désactivé cette dégradation le 1er mai 2000, sous pression des industriels et des alliés. Mais en pratique, rien n'interdit le DoD de la réactiver. Une décision de Washington suffirait à dégrader la précision temporelle de tous les serveurs NTP qui en dépendent, c'est-à-dire la quasi-totalité des serveurs de strate 0 dans le monde.
Galileo, le système européen de navigation par satellite, embarque lui aussi des horloges atomiques de haute précision et diffuse un signal de temps. En théorie, il pourrait donc alimenter des serveurs NTP de strate 0 souverains, indépendants de toute décision américaine. Nous rapportions comment Google et Apple continuent pourtant de brider Galileo dans leurs systèmes, lui préférant le GPS dans la quasi-totalité des configurations par défaut pour les applications de cartographie. La même logique s'applique donc à la mesure du temps réseau. Galileo offre une vraie alternative, laquelle n'est cependant intégrée nulle part.
Et à Paris, on a encore mieux
De son côté, la France dispose d'une infrastructure de référence temporelle sérieuse et peu connue. Le SYRTE (Systèmes de Référence Temps-Espace) est un laboratoire de l'Observatoire de Paris. Il maintient l'heure légale française, raccordée aux standards internationaux du BIPM, le Bureau International des Poids et Mesures installé à Sèvres. Le SYRTE opère des serveurs NTP publics accessibles sur ntp.obspm.fr, directement reliés à ses horloges atomiques au césium. Ces horloges atteignent une dérive inférieure à une nanoseconde par jour, soit une précision 50 à 100 fois supérieure à ce que restitue un signal GPS en conditions réelles, après dégradation atmosphérique et latence de transmission. Autrement dit, la France dispose d'une source de temps plus fiable que le GPS américain dont dépend la quasi-totalité des serveurs de strate 0 dans le monde. Et elle ne l'utilise pas par défaut.
D'autres pays européens ont leurs équivalents comme la PTB allemande, le RISE suédois, le NPL britannique. Ces infrastructures sont fiables, opérationnelles, et accessibles gratuitement. Reste qu'aucun système d'exploitation grand public, aucun routeur vendu en grande surface, aucun équipement réseau d'entrée de gamme ne les configure par défaut. Il semblerait tout simplement que personne ne se soit posé la question lors de la conception des logiciels qui tournent sur des centaines de millions de machines en Europe.
Pourtant, basculer une infrastructure vers ntp.obspm.fr n'est pas très compliqué. Sur Windows 11, c'est accessible dans Paramètres > Heure et langue > Horloges Internet. Sur macOS, trois clics dans Date et heure suffisent. Pour un administrateur système, c'est une ligne de commande. En revanche, le système entier est conçu pour que personne ne le fasse. Aucun audit ne le vérifie, aucun appel d'offres public ne l'exige, aucune certification de sécurité ne le valorise. Les serveurs en production héritent d'une image système préconfigurée par AWS, Azure ou Google Cloud, lesquels pointent vers leurs propres serveurs NTP. Les administrateurs système laissent les valeurs par défaut en place, non pas par négligence, mais parce que rien ne leur indique que cette valeur par défaut puisse un jour poser un problème.
NIS2 encadre tout, sauf ce point crucial
La directive NIS2, dont la transposition en droit français est en cours depuis 2024, impose aux entités critiques des exigences précises en matière de résilience numérique. Elle couvre la gestion des incidents, la sécurité de la chaîne d'approvisionnement, les mesures de continuité d'activité. Mais, elle non plus ne mentionne pas NTP. Aucune prescription ne porte sur les serveurs de temps à utiliser, l'obligation d'un fallback souverain, ni sur les sources de temps acceptables pour les infrastructures critiques. Pour sa part, l'ANSSI recommande (PDF) une bonne hygiène de synchronisation NTP. Sans toutefois imposer de source particulière.
L'ANSSI appelle à utiliser au moins deux sources NTP distinctes pour éviter les points de défaillance uniques, à ne pas exposer ses serveurs NTP internes directement sur internet, et à surveiller les dérives d'horloge dans ses outils de supervision. Des conseils parfaitement valables qui ne mentionnent pas l'identité de ces sources, leur localisation géographique, ni leur soumission éventuelle à une juridiction étrangère. Dans la pratique, un opérateur d'importance vitale peut donc cocher toutes les cases du référentiel ANSSI tout en ayant configuré ses deux sources NTP sur time.google.com et time.cloudflare.com. Il sera conforme. Mais aussi entièrement dépendant d'infrastructures américaines pour la "cohérence temporelle" de ses systèmes.
Une banque française peut donc être certifiée conforme à NIS2, auditée, outillée, et pourtant synchroniser ses horloges sur time.windows.com. Une centrale électrique peut respecter toutes les exigences de l'ANSSI et dépendre d'un serveur NTP californien pour l'horodatage de ses événements de sécurité. Ce n'est pas interdit. En fait, ce n'est même pas signalé. Et ce vide réglementaire ne concerne pas que la France. Le DORA (Digital Operational Resilience Act), le règlement européen sur la résilience numérique du secteur financier entré en application le 17 janvier 2025, impose aux établissements financiers une synchronisation temporelle précise et traçable pour l'ensemble de leurs transactions. Il ne spécifie pas non plus de sources souveraines.
Le temps réseau est crucial. Corrompre l'heure d'un système, c'est corrompre ses certificats, ses authentifications et ses journaux de sécurité en même temps. Encore une fois, la France et l'Europe disposent des outils pour être autonomes sur ce point avec l'Observatoire de Paris, le BIPM, ou Galileo. Cependant, elles n'ont simplement jamais décidé de les exploiter et aucun texte réglementaire ne les y encourage.
