{"id":20952,"date":"2023-09-15T10:24:21","date_gmt":"2023-09-15T08:24:21","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20952"},"modified":"2023-09-15T10:24:21","modified_gmt":"2023-09-15T08:24:21","slug":"windows-system-time-sudden-changes","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/windows-system-time-sudden-changes\/20952\/","title":{"rendered":"Le syst\u00e8me n’affiche pas la bonne heure et Secure Time Seeding n’est pas s\u00e9curis\u00e9"},"content":{"rendered":"

De temps \u00e0 autre, les utilisateurs et les administrateurs de Windows se demandent<\/a> pourquoi l\u2019heure et la date de leurs syst\u00e8mes changent soudainement et a plusieurs semaines, mois ou ann\u00e9es d\u2019avance<\/a> ou de retard<\/a>.<\/p>\n

\u00c0 quoi est-ce d\u00fb\u00a0? Les journalistes de Ars Technica<\/em><\/a> ont fait quelques recherches et ont d\u00e9couvert que \u00e7a pourrait \u00eatre li\u00e9 \u00e0 la fonctionnalit\u00e9 Secure Time Seeding<\/em>. Dans cet article, je vous explique le fonctionnement de cette option et ce que vous pouvez faire pour \u00e9viter ces sauts dans le temps.<\/p>\n

Qu\u2019est-ce que Secure Time Seeding<\/em> ?<\/h2>\n

La fonctionnalit\u00e9 Secure Time Seeding<\/em><\/a> est apparue dans Windows 10 en 2015. Cette option a pour but de corriger les diff\u00e9rences entre l\u2019heure du syst\u00e8me et l\u2019heure r\u00e9elle, principalement lorsque la batterie de l\u2019ordinateur qui alimente l\u2019horloge temps r\u00e9el<\/a> interne meurt et que les param\u00e8tres relatifs au temps n\u2019ont aucun lien avec la r\u00e9alit\u00e9. Plus important encore, STS peut corriger l\u2019heure du syst\u00e8me sans acc\u00e9der aux serveurs de l\u2019heure actuelle.<\/p>\n

Pourquoi cette correction des diff\u00e9rences temporelles est-elle n\u00e9cessaire\u00a0? Curieusement, c\u2019est pour des raisons de s\u00e9curit\u00e9. En g\u00e9n\u00e9ral, des protocoles de chiffrement SSL\/TLS prot\u00e8gent l\u2019\u00e9change de donn\u00e9es client-serveur (dont la connexion du syst\u00e8me aux serveurs de temps<\/a> d\u2019Internet). Pour \u00e9tablir cette connexion avec le serveur, le client doit d\u2019abord v\u00e9rifier son certificat num\u00e9rique, et ces certificats ne sont valables que pendant un certain temps. Ainsi, si l\u2019heure indiqu\u00e9e par le syst\u00e8me pr\u00e9sente une grosse erreur, le certificat pourrait appara\u00eetre comme expir\u00e9 et la connexion s\u00e9curis\u00e9e pourrait ne pas \u00eatre \u00e9tablie.<\/p>\n

C\u2019est un cercle vicieux\u00a0: pour obtenir l\u2019heure exacte, l\u2019ordinateur doit conna\u00eetre l\u2019heure actuelle. Il ne faut pas forc\u00e9ment que ce soit exactement la m\u00eame puisqu\u2019une heure similaire pourrait fonctionner. Plus l\u2019heure du syst\u00e8me diff\u00e8re de l\u2019heure actuelle, plus il y a de chance que le certificat soit indiqu\u00e9 comme expir\u00e9.<\/p>\n

STS apporte (du moins selon ses d\u00e9veloppeurs) une solution pour que le syst\u00e8me identifie et corrige automatiquement les diff\u00e9rences les plus importantes, et ce m\u00eame lorsqu\u2019une connexion s\u00e9curis\u00e9e ne peut pas \u00eatre \u00e9tablie avec le serveur. Cela est possible gr\u00e2ce aux horodatages actuels et aux dates d\u2019expiration des certificats num\u00e9riques qui se trouvent dans les donn\u00e9es envoy\u00e9es par les serveurs au client lorsqu\u2019une connexion s\u00e9curis\u00e9e est \u00e9tablie pour la premi\u00e8re fois (les prises de contact SSL et TLS).<\/p>\n

Nous ne connaissons pas l\u2019algorithme exact de STS. L\u2019id\u00e9e globale est que Windows obtient les donn\u00e9es de la prise de contact SSL et s\u2019en sert pour calculer une plage d\u2019heure actuelle fiable puis pour lui attribuer une probabilit\u00e9. Lorsque de nouvelle donn\u00e9es sont disponibles, la plage est mise \u00e0 jour et la probabilit\u00e9 peut augmenter progressivement. Lorsqu\u2019elle atteint un certain seuil, STS d\u00e9cide de changer l\u2019heure du syst\u00e8me \u00e0 l\u2019heure moyenne de la plage qu\u2019il consid\u00e8re comme fiable. En th\u00e9orie, cette pr\u00e9cision devrait \u00eatre suffisante pour \u00e9tablir une connexion s\u00e9curis\u00e9e, pour se connecter \u00e0 un serveur temps r\u00e9el et pour obtenir l\u2019heure exacte.<\/p>\n

Pourquoi devriez-vous d\u00e9sactiver Secure Time Seeding<\/em> ?<\/strong><\/p>\n

Le probl\u00e8me principal est que la fonctionnalit\u00e9 est active par d\u00e9faut sous Windows 10 et fonctionne m\u00eame si l\u2019horloge int\u00e9gr\u00e9e de l\u2019ordinateur n\u2019a jamais \u00e9t\u00e9 d\u00e9synchronis\u00e9e. Ainsi, STS peut r\u00e9tablir l\u2019heure \u00e0 n\u2019importe quel moment lorsque l\u2019algorithme secret de Microsoft d\u00e9cide que suffisamment de signaux indiquent que l\u2019horloge indique la mauvaise erreur et doit \u00eatre corrig\u00e9e.<\/p>\n

Nous ne savons pas exactement pourquoi Secure Time Seeding<\/em> ne fonctionne pas bien. L\u2019une des causes pourrait \u00eatre la hausse significative de la popularit\u00e9 des outils SSL\/TLS qui envoient un horodatage erron\u00e9 lors de la prise de contact. La biblioth\u00e8que OpenSSL est souvent utilis\u00e9e et est la principale suspecte puisqu\u2019elle introduirait des valeurs choisies au hasard dans l\u2019horodatage au lieu de l\u2019heure actuelle du serveur.<\/p>\n

De plus, ce bug peut aussi se produire dans les versions pour serveurs Windows\u00a0Server\u00a02016, Windows\u00a0Server\u00a02019 et Windows\u00a0Server\u00a02022 du syst\u00e8me d\u2019exploitation. Alors que ce probl\u00e8me n\u2019est qu\u2019un petit inconv\u00e9nient pour les utilisateurs d\u2019ordinateurs, il peut \u00eatre catastrophique pour les serveurs puisque leur bon fonctionnement d\u00e9pend g\u00e9n\u00e9ralement du fait d\u2019avoir l\u2019heure exacte.<\/p>\n

Un employ\u00e9 avec beaucoup d\u2019anciennet\u00e9 du service technique officiel de Microsoft a donn\u00e9 un conseil non officiel<\/a> \u00e0 ce propos aux administrateurs de contr\u00f4leurs de domaine Active Directory\u00a0:<\/p>\n

\u00ab\u00a0Salut ! Si vous g\u00e9rez des contr\u00f4leurs de domaine Active Directory, j\u2019aimerai vous donner un conseil INFORMEL qui n\u2019est autre que mon opinion personnelle : d\u00e9sactivez Secure Time Seeding pour w32time sur vos CDs.\u00a0\u00bb<\/p><\/blockquote>\n

\"Conseil<\/a>

Conseil informel donn\u00e9 par un ing\u00e9nieur exp\u00e9riment\u00e9 de Windows Escalation\u00a0: d\u00e9sactivez Secure Time Seeding<\/p><\/div>\n

Comment d\u00e9sactiver Secure Time Seeding<\/em> dans Windows<\/h2>\n

Pour d\u00e9sactiver STS, vous devez trouver cette cl\u00e9 dans le registre de Windows :<\/p>\n

\u00a0HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\Config<\/p><\/blockquote>\n

D\u00e9finissez la valeur de configuration du Registre UtilizeSSLTimeData sur\u00a00 :<\/p>\n

\"D\u00e9sactiver<\/a>

D\u00e9sactiver Secure Time Seeding dans le registre de Windows<\/p><\/div>\n

Vous pouvez aussi ex\u00e9cuter l\u2019ordre suivant<\/a> comme administrateur via l\u2019invite de commandes de Windows (CMD) :<\/p>\n

reg add HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\w32time\\Config \/v UtilizeSslTimeData \/t REG_DWORD \/d 0 \/f<\/p><\/blockquote>\n

Vous devez red\u00e9marrer le syst\u00e8me apr\u00e8s avoir modifi\u00e9 la valeur. Si cela s\u2019av\u00e8re compliqu\u00e9 ou impossible, vous pouvez forcer la mise \u00e0 jour gr\u00e2ce \u00e0 la commande suivante :<\/p>\n

W32tm.exe \/config \/update<\/p>\n

La fonctionnalit\u00e9 STS ne devrait plus bugger apr\u00e8s ces changements. Il ne vous reste plus qu\u2019\u00e0 vous assurer que l\u2019horloge du syst\u00e8me est toujours \u00e0 l\u2019heure. Sur ce point, l\u2019article publi\u00e9 par Ars Technica<\/em><\/a> donne quelques conseils pratiques aux administrateurs de serveurs.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Pourquoi l\u2019heure du syst\u00e8me Windows peut soudainement changer et comment y mettre un terme.<\/p>\n","protected":false},"author":2726,"featured_media":20958,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[61,668,322,23],"class_list":{"0":"post-20952","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-securite","11":"tag-ssl","12":"tag-vulnerabilites","13":"tag-windows"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/windows-system-time-sudden-changes\/20952\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/windows-system-time-sudden-changes\/26162\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/windows-system-time-sudden-changes\/21623\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/windows-system-time-sudden-changes\/28859\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/windows-system-time-sudden-changes\/26469\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/windows-system-time-sudden-changes\/26655\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/windows-system-time-sudden-changes\/29140\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/windows-system-time-sudden-changes\/35996\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/windows-system-time-sudden-changes\/48956\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/windows-system-time-sudden-changes\/21736\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/windows-system-time-sudden-changes\/30440\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/windows-system-time-sudden-changes\/26743\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/windows-system-time-sudden-changes\/32471\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/windows-system-time-sudden-changes\/32125\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/windows\/","name":"windows"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20952","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20952"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20952\/revisions"}],"predecessor-version":[{"id":20959,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20952\/revisions\/20959"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20958"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20952"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20952"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20952"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}