L’Internet Society est heureuse de voir publiée la RFC 8915 : Network Time Security for the Network Time Protocol par l’Internet Engineering Task Force (IETF). Cette norme représente un nouveau mécanisme de sécurité pour l’un des plus anciens protocoles sur Internet, le Network Time Protocol (NTP).
Une heure sûre et précise
Le NTP permet la synchronisation de l’heure sur les ordinateurs connectés par un réseau. L’heure est très importante pour de nombreuses fonctions quotidiennes vitales, telles que les transactions financières et le bon fonctionnement des systèmes d’énergie électrique et de transport. Une heure sûre et précise est également essentiel pour de nombreuses technologies de sécurité sur Internet, notamment pour la sécurité de base des sites Web. À mesure que tout devient plus décentralisé et en ligne, la synchronisation de l’heure sur les ordinateurs gagne en importance. Malgré tout cela, la sécurité du NTP accuse un retard dans son développement et son déploiement. La sécurité de l’heure sur les réseaux (NTS) a été développée pour combler cette lacune.
La publication du protocole NTS le 1er octobre 2020 représente l’aboutissement de nombreuses années de travail du groupe de travail NTP de l’IETF. Le NTS ajoute la sécurité cryptographique au mode client-serveur du NTP. Qu’est-ce que cela signifie ? Cela signifie que le NTP peut désormais confirmer l’identité des horloges du réseau qui échangent des informations temporelles et protéger la transmission de ces informations sur le réseau.
Le NTS est essentiellement constitué de deux sous-protocoles légèrement couplés qui, ensemble, renforcent la sécurité du NTP. Le NTS Key Exchange (NTS-KE) est basé sur le TLS 1.3 et permet l’authentification initiale du serveur ainsi que l’échange des jetons de sécurité avec le client. Le client NTP utilise ensuite ces jetons dans les champs d’extension NTP pour l’authentification et la vérification de l’intégrité des messages du protocole NTP qui échangent des informations temporelles.
Effort de collaboration globale
Le mérite en revient à de nombreuses organisations et personnes qui ont contribué à la publication de cette nouvelle norme. Cela inclut ceux qui ont aidé à écrire le document lui-même, ceux qui ont développé les premières implémentations de l’open source et ont fourni un retour d’information au groupe de travail NTP, et ceux qui ont participé aux premiers hackathons et tests d’interopérabilité. Bien qu’il ne soit pas possible de citer toutes les personnes impliquées, je pense qu’il est important de mettre en avant les auteurs du RFC :
- Dieter Sibold et Kristof Teichel de la Physikalisch-Technische Bundesanstalt (PTB)
- Ragnar Sundblad et Marcus Dansarie de Netnod
- Daniel Franke d’Akamai
Ces auteurs, en collaboration avec le groupe de travail du NTP, ont consacré beaucoup de temps et d’efforts pendant de nombreuses années pour parvenir à ce moment décisif.
En outre, je tiens à saluer les premiers responsables de la mise en œuvre du programme et le retour d’information essentiel qu’ils ont fourni. Martin Langer, de l’université des sciences appliquées d’Ostfalia, mérite une mention spéciale en tant que rédacteur du premier prototype de mise en œuvre démontrant la viabilité de l’approche du NTS et amenant d’autres développeurs à la table des négociations. D’autres implémentations de serveurs open source sont maintenant disponibles auprès de chrony (github) et NTPsec (github). Des serveurs de temps ouverts publics compatibles avec le NTS ont été mis en place par Netnod et Cloudflare.
Félicitations à tous ceux qui ont participé à cet effort ! L’Internet Society estime que la publication de la RFC 8915 constituera un pas en avant significatif dans la lutte contre les lacunes importantes en matière de sécurité du NTP.
Plus d’informations
L’Internet Society promeut le déploiement mondial de la sécurité de l’heure sur les réseaux en collaborant et en soutenant la communauté de développement des logiciels libres, les vendeurs de produits connexes, les fournisseurs de services de temps, les opérateurs de réseau et les décideurs politiques afin d’en encourager l’implémentation. Pour en savoir plus sur nos travaux en matière de sécurité du temps, de NTP et de NTS, consultez la page d’accueil du projet de sécurité du temps et ce billet de blog.
Vous pouvez également en savoir plus sur le travail que certaines des organisations impliquées dans la finalisation du protocole NTS effectuent dans le domaine de la sécurité du temps :
- Cloudflare : Le NTS est désormais un RFC
- Netnod : Nouvelle proposition de norme pour garantir la sécurité du temps sur Internet
Image d’Ariel Pilotto via Unsplash