La distribution de l’heure exacte, un sujet crucial mais dont les dangers sont trop méconnus

Mais enfin … quelle heure est-il ???

Nous sommes le lundi 13 janvier 2025. Mon smartphone indique qu’il est 18h00 précise. Il est donc temps, d’ouvrir le premier Lundi de la Cybersécurité de l’année 2025. Nous commencerons par les traditionnels messages de bienvenue, puis à 18h15, le professeur Gérard BERRY prendra la parole pour 60mn et nous parlera des menaces pesant sur le « temps universel », sujet d’importance mais très mal connu du public. A 19h15, ce sera au tour de Manon DUBIEN, vice-présidente du CEFCYS, « CErcle des Femmes de la CYberSécurité » de nous parler de son association et vers 19h30 commencera la séquence des questions réponses.

Mais le professeur Gérard BERRY n’est toujours pas connecté ! Que se passe-t-il ? Un problème ? Tiens, Manon DUBIEN, du CEFCYS, m’envoie un SMS pour me dire qu’elle s’impatiente car il est 18h40, ça fait 40 mn qu’elle attend le lancement du Lundi. Aura-t-il bien lieu aujourd’hui ???

Bizarre, bizarre, comme c’est bizarre… Je regarde mon smartphone et moi j’ai 18h03.

Les minutes ont passé. Il est maintenant 18h21 sur mon smartphone et nous aurions dû commencer mais Gérard BERRY n’est toujours pas connecté ! Bon alors parons au plus pressé, car l’heure tourne. J’envoie un SMS au professeur Gérard BERRY pour lui demander de se connecter sans plus attendre, par Zoom. Je reçois en retour un SMS de Gérard BERRY qui me dit qu’il est actuellement en fin de réunion, il est 17h42, donc il pourra se connecter, mais dans 18 minutes.

Pas possible ! Et soudain un doute lancinant m’envahit. Est-il vraiment 18h23 comme c’est indiqué maintenant sur mon smartphone ??? Nous n’aurions pas la même heure ? Comment est-ce possible ? Sommes-nous entrés dans un monde de dingues ! Notre évènement s’en trouve déstabilisé ! D’ailleurs je viens d’ouvrir le Chat du webinaire, et les messages affluent. Ils demandent « quand on commence, car on attend depuis plusieurs dizaines de minutes ; ce n’est pas sérieux, les « Lundi de la Cybersécurité » précédents nous avaient habitués à plus de rigueur !!! ».

Réfléchissons. Est-ce le protocole NTP qui nous joue des tours ? Sommes-nous face à une cyber-attaque à l’échelle du pays visant la diffusion du temps universel en France ?

L’inquiétude brusquement m’étreint. Pourquoi alors que l’institut de métrologie diffuse l’heure exacte, calculée par une horloge atomique, vers tous les appareils connectés à l’Internet, l’heure reçue indique n’importe quoi. Dans quelle galère sommes-nous tombés ! Et que fait Harold Lloyd accroché à l’aiguille de la pendule sur le visuel au début de ce message ? Lui aussi il s’y met ?

Bon, ce n’était qu’une fiction mais ça pourrait arriver... Demandons à Gérard BERRY, un expert du temps universel ce qu’il en pense.

Je donne la plume à l’intervenant Gérard BERRY

Savoir l’ heure avec précision est une question très ancienne, encore magnifiée par la

conquête des mers pour la détermination de la longitude. C’est John Harrison qui l’a résolue au 18e siècle avec son fabuleux chronomètre, mais pas à grande échelle. Par ailleurs, la définition de l’heure mondiale est très récente, datant seulement de 1919 pour les fuseaux horaires et de 1989 pour les définitions du Temps atomique international (TAI) et du Temps universel coordonné (UTC). Mais la distribution du temps partout le temps à grande échelle est un problème très différent, qui s’est posé dès la naissance des chemins de fer qui demandaient des horaires précis ne dépendant pas du lieu.

Au 21e siècles, avoir l’heure exacte est critique pour de grands pans de l’industrie et des transports. Actuellement, cette diffusion est réalisée de plusieurs façons : par des émetteurs radio, par les satellites GNSS (GPS, Galileo, etc.), par Internet avec le protocole NTP, par des fibres optiques dédiées, etc. Mais toutes les méthodes actuelles posent de gros problème de sécurité : les GNNS, très précis utilisés absolument partout, sont très sensibles au brouillage, qui empêche la localisation, et au leurrage, qui vous transporte n’importe où. Le protocole NTP, qui distribue l’heure sur Internet avec une précision bien moins grande, est assez facilement attaquable. Et les conséquences des attaques de plus en plus nombreuses peuvent être très graves.

C’est tout cela qui sera discuté dans l’exposé, avec des exemples d’attaques et de remèdes potentiels.

Je reprends la plume 

Qui est Gérard BERRY ?

Gérard Berry, ancien élève de l’École polytechnique, ingénieur général du corps des Mines, membre de l’Académie des sciences, de l’Académie des technologies est titulaire de la médaille d'or du CNRS qu’il a reçue en 2014.

Il est professeur émérite (au mérite) au Collège de France, ex-chaire Algorithmes, machines et langages.

http://www.college-de-france.fr/site/gerard-berry/index.htm 

http://www-sop.inria.fr/members/Gerard.Berry 

Demande d'inscription pour le Lundi de la cybersécurité du mois de janvier 2025

Lundi 13 janvier, par visio-conférence Zoom à partir de 18 h 00 (si le protocole NTP véhicule une heure intègre, et la même pour toutes et pour tous, dans notre fuseau horaire 😊).

Nos « Lundi de la cybersécurité » sont gratuits et veulent vous offrir une fête technologique. Demandez votre inscription, par courriel, nous vous enverrons, un peu avant le jour de l'événement, un hyperlien vers la visioconférence.

Les demandes d'inscriptions sont à adresser à Béatrice Laurent :

beatricelaurent.CDE@gmail.com

Les prénoms, noms et adresses mails des inscrits seront connus des organisateurs et communiqués aux intervenants. Si vous voulez être ajoutés à ma liste de distribution de mes lettres des « Lundi de la cybersécurité » mensuels, demandez-le-moi par mail (gerard.peliks@arcsi.fr).

Et bien entendu, si vous vous inscrivez pour assister à notre évènement, soyez connectés le lundi 13 janvier, dès 18 h 00.  La salle d’attente Zoom sera ouverte aux alentours de 17 h 00. Prévenez-nous, dès que possible si vous êtes inscrits mais avez un empêchement qui ne vous permet pas d’assister à ce webinaire.

Quelques minutes avec une organisation : Le CEFCYS

Suivant la tradition de nos « Lundi de la cybersécurité », entre l'exposé de l'intervenant et la session questions / réponses, autour de 19 h 15, nous donnons pour une quinzaine de minutes la parole à une organisation ou à une personne qui opère dans l'écosystème du numérique et dans la sécurité de l'information.

Cette séquence du Lundi de janvier sera animée par Manon DUBIEN, Vice-présidente du CEFCYS

Comme nos « Lundi », le CEFCYS favorise la diffusion d’une culture de la sécurité du numérique. Ses bénévoles agissent pour qu’il y ait davantage de femmes dans les métiers de la cybersécurité (actuellement environ 17% seulement).

Le coin des « Lundi de la cybersécurité » précédents.

Vous trouverez tous les détails, slides, parfois aussi les enregistrements et des comptes rendus, écrits par Clarisse Véron, cette année élève du master2 « Cybersécurité et e-Santé » de l’université Paris Cité, sur le web de l'ARCSI en https://www.arcsi.fr/evt_passes.php. 

Mais attention, il n’est pas garanti qu’il y aura ces documents pour chacun de nos futurs lundis. Donc il est conseillé d’être connectés pour les suivre par Zoom.

Le coin-coin de l’IA Générative

Allons-nous obtenir une « hallucination » ou une réponse qui décrit une situation bien réelle ?

Prompt posé à Gemini (l’IA Générative de Google) :

Quelles menaces pèsent sur l'heure universelle ?

Voici une partie de la réponse reçue :

La menace la plus directe sur l'heure universelle ne réside pas dans une altération fondamentale de notre mesure du temps, mais plutôt dans la perturbation de sa distribution et de sa synchronisation. Bien que l'heure atomique nous offre une précision inégalée, les systèmes qui la diffusent et la rendent accessible à tous sont vulnérables.

Voici les principales menaces qui pèsent sur la distribution de l'heure universelle :

• Cyberattaques : Falsification des horloges : Des pirates pourraient modifier l'heure affichée sur des serveurs de temps, entraînant des désynchronisations massives et des dysfonctionnements dans les systèmes qui s'y réfèrent. Dénis de service : Des attaques par déni de service pourraient rendre inaccessibles les serveurs de temps, paralysant les systèmes qui en dépendent.
• Catastrophes naturelles : Tempêtes solaires : Ces événements peuvent perturber les signaux radio utilisés pour diffuser l'heure, ainsi que les satellites de navigation comme le GPS. Catastrophes terrestres : Des tremblements de terre, des tsunamis ou d'autres événements naturels peuvent endommager les infrastructures terrestres utilisées pour la distribution de l'heure.
• Erreurs humaines : Mauvaise configuration : Une erreur dans la configuration d'un serveur de temps ou d'un appareil chronométrique peut entraîner des décalages horaires importants. Maintenance défectueuse : Des erreurs lors de la maintenance des équipements peuvent également provoquer des dysfonctionnements.

Quelles seraient les conséquences d'une perturbation de l'heure universelle ?

• Chaos dans les systèmes informatiques : Les systèmes d'exploitation, les bases de données et les applications dépendent d'une horloge précise pour fonctionner correctement. Une heure erronée pourrait entraîner des pertes de données, des plantages et des dysfonctionnements généralisés.
• Perturbations des communications : Les réseaux de télécommunications s'appuient sur la synchronisation horaire pour router les paquets de données de manière efficace. Une heure inexacte pourrait entraîner des retards, des pertes de paquets et une dégradation de la qualité des communications.
• Problèmes dans les systèmes financiers : Les marchés financiers fonctionnent en temps réel et s'appuient sur des horloges précises pour exécuter les transactions. Une heure erronée pourrait entraîner des erreurs de calcul, des pertes financières et une perte de confiance dans les marchés.
• Disfonctionnement des infrastructures critiques : Les réseaux électriques, les systèmes de transport et les systèmes de contrôle industriels dépendent tous d'une synchronisation horaire précise. Une heure erronée pourrait entraîner des pannes, des accidents et des perturbations majeures.

En résumé, si l'heure universelle elle-même est stable, les systèmes qui la distribuent et la rendent accessible sont vulnérables. Les conséquences d'une perturbation de l'heure universelle pourraient être considérables, affectant de nombreux aspects de notre société moderne.

Bon, intéressant, mais qu’en pense Gérard BERRY ? Il nous en dira plus le 13 janvier 18h et répondra aussi à nos questions. Les inscriptions sont ouvertes.

Gérard ( Peliks ;-) )