Une heure précise et sûre est essentielle pour la sécurité et la fiabilité de l’Internet. De nombreux systèmes avec lesquels nous interagissons régulièrement reposent sur la précision horaire pour fonctionner correctement. L’heure précise constitue également une base essentielle pour la sécurité en ligne, et de nombreux mécanismes de sécurité, tels que les certificats numériques utilisés pour la sécurité de la couche transport (TLS), dépendent de la précision de la comptabilisation du temps. Le protocole NTP (Network Time Protocol) permet la synchronisation des horloges sur les réseaux informatiques.
Les mécanismes de sécurité du NTP ont été conçus à une époque où la plupart du trafic Internet était fiable et où le risque d’attaque était peu probable. En raison de l’expansion exponentielle continue d’Internet, ces mécanismes sont devenus obsolètes et ont dû être repensés. L’Internet Engineering Task Force (IETF) travaille depuis plusieurs années à l’élaboration d’une spécification pour la sécurité de l’heure des réseaux (NTS). Cette spécification a été approuvée par l’Internet Engineering Steering Group (IESG) en mars dernier et est actuellement en cours de révision par le RFC pour la publication finale. Au cours des deux dernières années, une série de projets NTS ont été menés dans le cadre des Hackathons de l’IETF. Ces projets ont permis d’identifier les erreurs et les ambiguïtés dans la spécification mais aussi de tester et d’améliorer l’interopérabilité entre les implémentations.
Collaboration communautaire à l’heure
Récemment, dans le cadre du hackathon virtuel de l’IETF 108, un autre événement de cette série a été couronné de succès. Des représentants de plusieurs organisations dont chrony, Cloudflare, Netnod, Orolia, l’Université des sciences appliquées d’Ostfalia, la Physikalisch-Technische Bundesanstalt (PTB) et l’Internet Society ont participé au projet sur la sécurisation de l’heure des réseaux (NTS) en juillet 2020. À la fin de la semaine, on comptait 13 installations de six serveurs NTS différents. Ces implémentations de serveurs ont été testées par rapport à cinq implémentations de clients différentes, montrant des améliorations dans la maturité et l’interopérabilité des implémentations de NTS, tant pour les clients que pour les serveurs.
En outre, l’un des points forts de cet effort a été la contribution du premier outil de test des NTS. Miroslav Lichvar a fourni cet outil, qui a permis de vérifier la conformité d’une implémentation à la spécification et d’effectuer quelques tests de performance de base. Découvrez ici une brève présentation des résultats du projet NTS lors du Hackathon virtuel de l’IETF 108.
Prise en charge NTS
À ce stade, il existe maintenant deux implémentations NTP open source principales qui ont ajouté la prise en charge NTS : chrony et NTPsec. Par ailleurs, il existe des implémentations NTS à source ouverte de Netnod, Ostfalia et Cloudflare. Le projet Time Security de l’Internet Society établit un banc d’essai distribué avec certaines de ces implémentations afin de fournir des possibilités de test et d’implémentation supplémentaires pour la communauté au sens large.
Pour en savoir plus :
- Consultez notre page d’accueil du projet Time Security pour connaître les dernières nouveautés
- Résultats du hackathon virtuel de l’IETF 108
- Document NTS de l’IETF
- Tout ce que vous devez savoir sur la sécurité de l’heure (Netnod)
- Résultats de l’interopérabilité du NTS (2019, APNIC)
Image de Josh Redd via Unsplash