La commodité a un prix ! Quatre grandes vulnérabilités invisibles de l'eSIM : fuite de vie privée, risques de surveillance émergents

La technologie eSIM accélère le remplacement des cartes physiques, mais une architecture pratique de gestion à distance cache plusieurs risques. Des études ont révélé que le roaming international présente des problèmes de flux de données vers des juridictions judiciaires spécifiques.

L’essor de la technologie eSIM et les risques liés à l’architecture

Les technologies de communication mobile entrent dans une phase critique de transformation numérique, et les cartes SIM physiques traditionnelles quittent rapidement la scène. Selon les prévisions de la GSMA, d’ici 2028, 50 % des smartphones dans le monde supporteront entièrement la technologie eSIM.

Cette révolution a atteint son apogée après le lancement de la version « eSIM Only » sur l’iPhone 14 sur le marché américain. La principale avantage de l’eSIM (module d’identité utilisateur intégré) réside dans la gestion à distance (Remote SIM Provisioning, RSP), permettant aux utilisateurs de changer d’opérateur en scannant un QR code ou en téléchargeant une application. Cependant, cette commodité dissimule des risques architecturaux profonds.

Un rapport de l’Université Northeastern indique que la conception de l’eSIM amplifie les risques liés aux SIM traditionnels, et l’introduction de processus de gestion à distance complexes avec des tiers agents très peu transparents ouvre de nouvelles surfaces d’attaque. L’identification passe du composant physique à un flux de travail numérique, ce qui remet en question le contrôle de l’utilisateur sur la sécurité de ses communications.

Les pièges du roaming transfrontalier, révélant le flux de données et la juridiction

Une enquête approfondie sur le marché des eSIM pour le tourisme montre que les données des utilisateurs sont souvent dirigées, à leur insu, vers des juridictions judiciaires étrangères spécifiques. La majorité des fournisseurs de eSIM pour le tourisme utilisent une architecture de « roaming routé domestique » (Home-Routed Roaming, HRR). Même si l’utilisateur se trouve aux États-Unis et accède au réseau local, tout le trafic réseau, l’historique de navigation et les données d’utilisation des applications sont encapsulés et renvoyés au « réseau domestique » du fournisseur d’eSIM pour traitement.

Des expérimentations ont montré qu’en utilisant le service Holafly basé en Europe, même en étant aux États-Unis, les données transitent par l’infrastructure de China Mobile, ce qui entraîne une localisation géographique de l’IP publique du téléphone en Chine.

Source : USENIX, détails sur les adresses IP, leur localisation géographique et les fournisseurs d’accès Internet (FAI) des divers fournisseurs d’eSIM

Ce mécanisme confère aux opérateurs étrangers le pouvoir de surveiller l’activité en ligne des utilisateurs. Bien que certaines régions disposent de lois sur la vie privée comme le RGPD limitant le traitement des données, la complexité technique du roaming transfrontalier laisse des zones grises dans l’application réglementaire, exposant potentiellement les utilisateurs à des risques de surveillance à l’étranger.

La vie privée en danger ? Communication silencieuse et surveillance non autorisée

Le seuil d’entrée sur le marché de l’eSIM est extrêmement bas, ce qui entraîne l’émergence de nombreux revendeurs non régulés. Des chercheurs, en s’inscrivant comme revendeurs, ont découvert qu’il suffit d’un email et d’une carte de crédit pour accéder facilement à des données sensibles du backend utilisateur.

Sur des plateformes comme Telnyx, les revendeurs peuvent surveiller en temps réel l’état d’activation de l’eSIM et la consommation de données, et obtenir même des informations géographiques basées sur la localisation des stations de base. Certains revendeurs disposent de droits pour « attribuer une adresse IP publique fixe » et « envoyer des SMS binaires (Binary SMS) », ce qui permet à des acteurs malveillants de contourner la protection de l’appareil, en envoyant des charges malveillantes ou en établissant des canaux de commande à distance.

De plus, des dispositifs spécialisés comme sysmoEUICC1 ont permis de découvrir que des services comme eSIM Access initient en arrière-plan des « communications proactives » (Proactive Communication). Sans aucune application en cours ou interaction de l’utilisateur, l’eSIM échange silencieusement des données avec des serveurs à Singapour ou Hong Kong. Ce type d’activité cachée, basé sur des outils de la boîte à outils STK (SIM Toolkit), expose l’appareil mobile à des menaces numériques.

De la suppression défaillante aux attaques DoS

La gestion du cycle de vie de l’eSIM implique une synchronisation étroite entre l’appareil, le hardware eUICC et le serveur SM-DP+. Des données expérimentales montrent que ce processus numérique est extrêmement vulnérable dans certains scénarios.

Le problème le plus courant survient lors de la « suppression hors ligne ». Si un utilisateur supprime le profil eSIM sans connexion Internet (par exemple, en désactivant le Wi-Fi ou en étant dans une zone sans signal), l’appareil ne peut pas envoyer de notification de mise à jour à distance. Si le serveur considère toujours le profil comme « installé », même après une nouvelle lecture du QR code original, une erreur de « réinstallation » se produit, entraînant une interruption de service (DoS).

Ce type de verrouillage technique nécessite souvent une intervention manuelle de l’opérateur télécom pour être levé. Certains fournisseurs peuvent également utiliser des limites de stockage pour installer des profils anormalement volumineux, épuisant ainsi la capacité du matériel et empêchant l’installation de services concurrents. Les régulateurs doivent exiger des opérateurs qu’ils mettent en œuvre une authentification multi-facteurs (MFA) pour prévenir les attaques de type échange de SIM (SIM Swapping), et établir des normes de gestion numérique transparentes pour garantir la souveraineté des communications des utilisateurs.