Réfléchir à une bonne synchronisation des horloges de l’infrastructure est primordiale pour assurer une sécurité en profondeur.

Effectivement, aujourd’hui TOUT se base un principe simple: Tout doit être à la même heure (clustering, log, corrélation, certificat, OTP, …).

L’article http://www.bortzmeyer.org/7384.html démontre que ce n’est pas toujours le cas. Ce protocole n’embarque pas de façon native des moyens de sécurisation du flux. Il est donc un vecteur d’attaque possible.

Il est important de l’isoler. Il n’est inconcevable de reposer l’ensemble de son SI sur serveur de temps extérieur (usurpation d’IP, etc..), il faut donc le cloisonner et le maitriser en fournissant un serveur de référence spécifique pour le S.I. Si ce dernier dérive dans le temps, il va faire dériver l’ensemble du S.I. mais l’ensemble sera et restera cohérent.

Il est évident que cela ne suffit pas puisque la problématique du S.I. repose maintenant sur un serveur, il faut donc:

•  Créer une redondance pour éviter la perte de ce serveur. Par chance, le protocole embarque nativement un mécanisme de redondance de serveur temps et hiérarchie.
• Instaurer un système de confiance sur les serveurs de temps de référence. De même par chance, le protocole embarque ce type de système. Si un serveur est corrompu, il aura un décalage d’horloge trop important et sera automatiquement exclu de la lite.
• Avoir au minimum 2 moyens de récupérations des références, voir 2 types différents (filaire, ondes hertziennes, …). Avec 2 serveurs, cela fait 4 moyens possibles.
• Avoir une bonne supervision: début de dérive du S.I., non récupération de l’horloge mondiale, perte de confiance d’une référence de temps, perte d’un moyen de récupération

Tous ces points exposés font suite au très bon article de StéphaneBortzmeye et montre la necessité d’une architecture spécifique, complète et dédiée sur le NTP.