Pourquoi la dérive d'horloge compte-t-elle vraiment ?

Parce que **des dizaines de protocoles supposent** que tout le monde a une horloge à peu près égale à la réalité. **TOTP** (Google Authenticator) génère un code basé sur la fenêtre de 30 s courante : une dérive de 60 s signifie que le code est périmé. **Les certificats TLS** ont des dates de validité, dérive d'une semaine dans le futur et tu vois "pas encore valide". **Kerberos** abandonne les tickets à plus de 5 minutes d'asymétrie. **Les bases de données** résolvent les conflits d'écriture par timestamp, une mauvaise horloge = écritures perdues.

Millisecondes vs secondes, c'est quoi la normale ?

Un client NTP sain garde l'offset **sous 50 ms** sur internet public, souvent **sous 10 ms** dans un datacenter. Au-dessus de 100 ms, quelque chose est suspect (gros filtre UDP, serveur surchargé, mauvais démarrage). **Au-dessus d'1 seconde**, tout système moderne laisse une note dans le syslog. **Au-dessus de 30 s**, TOTP casse. **Au-dessus de 5 minutes**, Kerberos abandonne. Une horloge de carte mère non synchronisée dérive de **plusieurs secondes par semaine**.

C'est quoi les niveaux de strate en NTP ?

**La strate** est la distance à une **source de temps autoritative**. **Strate 0** = une horloge atomique ou un récepteur GPS lui-même (ne répond pas sur le réseau). **Strate 1** = un serveur connecté directement à une strate 0 (par exemple **time.cloudflare.com**, **time.google.com**, la plupart des serveurs de **pool.ntp.org**). **Strate 2** = un serveur qui interroge une strate 1. Chaque saut ajoute de l'incertitude, **strate 16** signifie "non synchronisé". En production, tu veux strate 1 à 3.

En quoi pool.ntp.org diffère-t-il de time.cloudflare.com / time.google.com / time.windows.com ?

**pool.ntp.org** est un **pool distribué de milliers de volontaires**, le round-robin DNS retourne une IP différente à chaque fois. Avantage : énorme redondance géographique. Inconvénient : la qualité du serveur change entre requêtes. **time.cloudflare.com** et **time.google.com** sont des services **anycast strate 1** adossés à GPS, avec le RTT le plus rapide et l'offset le plus stable. **time.windows.com** est le serveur Microsoft que Windows utilise par défaut, en général strate 2 ou 3, correct, mais plus lent que Cloudflare ou Google.

Comment Windows synchronise-t-il l'heure ?

Le service **W32Time** (Windows Time). Par défaut, il interroge **time.windows.com** au boot et une fois tous les **7 jours** (oui, vraiment). C'est largement trop rare pour TOTP et les certificats. Tu peux l'améliorer : dans PowerShell, lance `w32tm /config /manualpeerlist:"time.cloudflare.com,time.google.com,pool.ntp.org" /syncfromflags:manual /update`, puis `Restart-Service W32Time`, enfin `w32tm /resync /force`. Vérifie l'état avec `w32tm /query /status`.

Comment macOS synchronise-t-il l'heure ?

Le daemon **timed**, qui interroge le serveur défini dans Réglages Système → Date et heure (par défaut **time.apple.com**, strate 2). macOS le fait **automatiquement et souvent**, tu ne devrais pas voir de dérive supérieure à **20 ms**. Force une sync manuelle avec `sudo sntp -sS time.apple.com` (Big Sur et plus) ou `sudo systemsetup -setnetworktimeserver time.cloudflare.com` pour changer le serveur.

Comment Linux synchronise-t-il l'heure ?

Deux options courantes. **systemd-timesyncd** (par défaut sur Ubuntu desktop, un client SNTP simple) : config dans **/etc/systemd/timesyncd.conf**, statut avec `timedatectl status`. **chrony** (par défaut sur RHEL / Fedora / la plupart des serveurs) : config **/etc/chrony.conf**, statut avec `chronyc tracking` et `chronyc sources -v`. Chrony est **plus précis** et gère les laptops qui se mettent en veille (resync au réveil). Pour les serveurs en production, utilise chrony.

Quand la dérive devient-elle vraiment dangereuse ?

Seuils qu'on voit dans les vraies pannes : **30 s** = TOTP / Google Authenticator arrête de fonctionner, **2 min** = les flux OAuth avec timestamps JWT rejettent les jetons, **5 min** = Kerberos / Active Directory déconnecte tous les utilisateurs, **24 h** = les certs Let's Encrypt paraissent pas-encore-valides ou expirés, **30 jours** = des certificats plus anciens expirent en plein chargement de page. Plus subtil : les bases avec résolution de conflit par timestamp **perdent silencieusement des écritures** à quelques centaines de ms de dérive.

Comment corriger la dérive, recette rapide par OS ?

**Windows** (PowerShell admin) : `w32tm /resync /force`. Si ça reste décalé, change le serveur avec la commande de la FAQ ci-dessus. **macOS** : `sudo sntp -sS time.cloudflare.com` remet l'horloge à zéro instantanément, le système la garde ensuite. **Linux avec chrony** : `sudo chronyc -a makestep` force un pas immédiat (plutôt qu'un slew lent). **Linux avec timesyncd** : `sudo systemctl restart systemd-timesyncd`. **Docker / conteneurs** : le conteneur hérite de l'horloge de l'hôte, corrige l'hôte, pas le conteneur. **VM** : vmtools ou cloud-init se synchronisent en général avec l'hyperviseur, vérifie `timedatectl` pour confirmer que NTP est actif.

Vérificateur dérive NTP - gratuit

Qu'est-ce qu'une vérification de dérive NTP

Une vérification de dérive NTP mesure la différence entre l'horloge de ton ordinateur, celle de notre serveur et quatre serveurs NTP publics. Notre serveur envoie un petit paquet UDP sur le port 123 à chacun, lit les horodatages renvoyés et calcule l'offset (de combien de millisecondes ton horloge est décalée) et le délai aller-retour.

Tu obtiens une vue unique avec l'heure de ta machine, l'heure de notre serveur, l'heure de référence NTP et un graphique en barres de la dérive par serveur. Rien à installer, pas de droits admin, juste rafraîchir la page.

Comment l'utiliser

Ouvre l'outil. En quelques secondes, tu vois trois grands chiffres : l'heure de ton ordinateur, l'heure de notre serveur et l'heure de référence NTP (médiane sur les quatre serveurs).
En dessous, deux lectures : ton ordinateur vs NTP et notre serveur vs NTP. Une valeur positive signifie que ton horloge est plus lente que NTP. Négative = plus rapide.
À droite, un graphique en barres de la dérive par serveur (pool.ntp.org, time.cloudflare.com, time.google.com, time.windows.com). Utile pour confirmer que les serveurs sont d'accord entre eux.
Active le rafraîchissement automatique toutes les 10 secondes avec l'interrupteur en haut. Désactivé = mesure unique, comme cliquer sur "Rafraîchir".
Si un serveur signale erreur : timeout, il n'a pas répondu en 3 secondes. Souvent un filtre UDP sur le chemin. Les trois autres serveurs donnent quand même une image utile.
La colonne "strate" montre à quel point ce serveur est proche de la source. 1 = horloge atomique ou GPS, 2 = un serveur qui interroge un strate 1, et ainsi de suite. Les nombres plus bas ont plus d'autorité.

Quand c'est utile

Six situations où la dérive d'horloge fait vraiment mal :

TOTP / 2FA échoue ("code invalide" même avec le bon secret) parce que l'horloge d'un téléphone ou serveur a dérivé de 30+ secondes. Tu peux voir immédiatement si le problème vient de chez toi.
Certificats TLS marqués invalides ou "pas encore valides" parce que l'horloge serveur est décalée de plusieurs minutes dans un sens ou l'autre et tout casse.
Corrélation de logs entre microservices : si chaque nœud a une dérive différente, les événements dans Grafana et Loki s'alignent dans le mauvais ordre et le debug devient de la devinette.
Kerberos / Active Directory rejette les tickets quand l'écart entre client et contrôleur de domaine dépasse 5 minutes (la tolérance d'asymétrie d'horloge par défaut).
Bases de données multi-master (Cassandra, ScyllaDB, CockroachDB) utilisent les timestamps pour résoudre les conflits d'écriture, une mauvaise horloge signifie que c'est le dernier-écrivant-gagne sur la mauvaise écriture.
Smart contracts et RPCs blockchain valident souvent que block.timestamp est raisonnable versus now. Une mauvaise horloge sur ton nœud = transactions rejetées.

Liens utiles : horloge mondiale, convertisseur de fuseaux horaires, Unix timestamp, recherche DNS.

Questions et réponses

Network Time Protocol est un protocole de 1985 (RFC 5905) qui permet aux ordinateurs de synchroniser leurs horloges sur le réseau avec une précision en milliseconde sur un LAN et quelques dizaines de ms sur internet. Le client envoie un petit paquet UDP à un serveur NTP, le serveur répond avec des timestamps, le client calcule offset et délai. Tout ton système d'exploitation fait tourner un client NTP en arrière-plan : sur Windows c'est W32Time, sur Linux en général chrony ou systemd-timesyncd, sur macOS timed.

Qu'est-ce qu'une vérification de dérive NTP

Comment l'utiliser

Ouvre l'outil. En quelques secondes, tu vois trois grands chiffres : l'heure de ton ordinateur, l'heure de notre serveur et l'heure de référence NTP (médiane sur les quatre serveurs).

En dessous, deux lectures : ton ordinateur vs NTP et notre serveur vs NTP. Une valeur positive signifie que ton horloge est plus lente que NTP. Négative = plus rapide.

À droite, un graphique en barres de la dérive par serveur (pool.ntp.org, time.cloudflare.com, time.google.com, time.windows.com). Utile pour confirmer que les serveurs sont d'accord entre eux.

Active le rafraîchissement automatique toutes les 10 secondes avec l'interrupteur en haut. Désactivé = mesure unique, comme cliquer sur "Rafraîchir".

Si un serveur signale erreur : timeout, il n'a pas répondu en 3 secondes. Souvent un filtre UDP sur le chemin. Les trois autres serveurs donnent quand même une image utile.

La colonne "strate" montre à quel point ce serveur est proche de la source. 1 = horloge atomique ou GPS, 2 = un serveur qui interroge un strate 1, et ainsi de suite. Les nombres plus bas ont plus d'autorité.

Quand c'est utile

Six situations où la dérive d'horloge fait vraiment mal :

TOTP / 2FA échoue ("code invalide" même avec le bon secret) parce que l'horloge d'un téléphone ou serveur a dérivé de 30+ secondes. Tu peux voir immédiatement si le problème vient de chez toi.
Certificats TLS marqués invalides ou "pas encore valides" parce que l'horloge serveur est décalée de plusieurs minutes dans un sens ou l'autre et tout casse.
Corrélation de logs entre microservices : si chaque nœud a une dérive différente, les événements dans Grafana et Loki s'alignent dans le mauvais ordre et le debug devient de la devinette.
Kerberos / Active Directory rejette les tickets quand l'écart entre client et contrôleur de domaine dépasse 5 minutes (la tolérance d'asymétrie d'horloge par défaut).
Bases de données multi-master (Cassandra, ScyllaDB, CockroachDB) utilisent les timestamps pour résoudre les conflits d'écriture, une mauvaise horloge signifie que c'est le dernier-écrivant-gagne sur la mauvaise écriture.
Smart contracts et RPCs blockchain valident souvent que block.timestamp est raisonnable versus now. Une mauvaise horloge sur ton nœud = transactions rejetées.

Liens utiles : horloge mondiale, convertisseur de fuseaux horaires, Unix timestamp, recherche DNS.

Questions et réponses

Vérificateur dérive NTP

Qu'est-ce qu'une vérification de dérive NTP

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Horloge mondiale

Convertisseur fuseaux horaires

Convertisseur timestamp Unix

Lookup DNS

Vérificateur dérive NTP

Qu'est-ce qu'une vérification de dérive NTP

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Horloge mondiale

Convertisseur fuseaux horaires

Convertisseur timestamp Unix

Lookup DNS