La commodité a un prix ! Quatre grandes vulnérabilités invisibles de l'eSIM : fuite de vie privée, risques de surveillance émergents

La technologie eSIM accélère le remplacement des cartes physiques, mais une architecture pratique de gestion à distance comporte plusieurs risques. Des études ont révélé que le roaming international présente des problèmes de flux de données vers certaines juridictions judiciaires.

L’essor de la technologie eSIM et les risques liés à l’architecture

La technologie de communication mobile entre dans une phase critique de transformation numérique, et les cartes SIM physiques traditionnelles quittent rapidement la scène. Selon les prévisions de la GSMA, d’ici 2028, 50 % des smartphones dans le monde supporteront entièrement la technologie eSIM.

Cette révolution a atteint son apogée après le lancement de la version « eSIM Only » sur l’iPhone 14 sur le marché américain. La principale avantage de l’eSIM (module d’identité utilisateur intégré) réside dans la gestion à distance (Remote SIM Provisioning, RSP), permettant aux utilisateurs de changer d’opérateur en scannant un QR code ou en téléchargeant une application. Cependant, cette commodité cache des risques architecturaux profonds.

Un rapport de l’Université Northeastern indique que la conception de l’eSIM amplifie les risques liés aux cartes SIM traditionnelles, et l’introduction de processus de gestion à distance complexes avec des tiers agents très peu transparents ouvre de nouvelles surfaces d’attaque. L’identification passe d’un composant physique à un flux de travail numérique, ce qui remet en question le contrôle de l’utilisateur sur la sécurité de ses communications.

Les pièges du roaming international, révélant le flux de données et la juridiction

Une enquête approfondie sur le marché des eSIM de voyage montre que les données des utilisateurs sont souvent dirigées, à leur insu, vers des juridictions judiciaires étrangères spécifiques. La majorité des fournisseurs de eSIM de voyage utilisent une architecture de « roaming routé domestique » (Home-Routed Roaming, HRR). Même si l’utilisateur se trouve aux États-Unis et accède au réseau local, tout le trafic réseau, l’historique de navigation et les données d’utilisation des applications sont encapsulés et renvoyés au réseau « domicile » du fournisseur eSIM pour traitement.

Des expérimentations ont montré qu’en utilisant le service Holafly basé en Europe, même en étant aux États-Unis, les données transitent par l’infrastructure de China Mobile, ce qui entraîne une localisation géographique de l’IP publique du téléphone en Chine.

Source : USENIX, détails sur les adresses IP, leur localisation géographique et les fournisseurs d’accès Internet (ISP)

Ce mécanisme donne aux opérateurs étrangers le pouvoir de surveiller l’activité en ligne des utilisateurs. Bien que certaines régions disposent de lois sur la confidentialité comme le RGPD limitant le traitement des données, dans la chaîne complexe du roaming international, l’application de la réglementation reste grise, exposant les utilisateurs à des risques de surveillance à l’étranger.

La vie privée en danger ? Communication silencieuse et surveillance non autorisée

Le seuil d’entrée sur le marché eSIM est extrêmement bas, ce qui entraîne l’émergence de nombreux revendeurs non réglementés. Des chercheurs, en s’inscrivant comme revendeurs, ont découvert qu’il suffit d’un email et d’une carte de crédit pour accéder facilement à des données sensibles du backend utilisateur.

Sur le tableau de bord des revendeurs sur des plateformes comme Telnyx, les revendeurs peuvent surveiller en temps réel l’état d’activation de l’eSIM et la consommation de données, et certains peuvent même obtenir des informations géographiques basées sur la localisation des stations de base. Certains revendeurs disposent de droits pour « attribuer une adresse IP publique fixe » et « envoyer des SMS binaires (Binary SMS) », ce qui permet à des acteurs malveillants de contourner la sécurité de l’appareil, en envoyant des charges malveillantes ou en établissant des canaux de commande à distance.

De plus, des outils spécialisés comme sysmoEUICC1 ont révélé que des fournisseurs comme eSIM Access initient en arrière-plan des « communications proactives » (Proactive Communication). Sans aucune application en cours d’exécution ou intervention de l’utilisateur, l’eSIM échange silencieusement des données avec des serveurs à Singapour ou Hong Kong. Cette activité discrète basée sur la boîte à outils d’applications SIM (STK) expose l’appareil à des menaces numériques.

De la suppression défaillante aux attaques DoS

La gestion du cycle de vie de l’eSIM implique une synchronisation étroite entre l’appareil, le matériel eUICC et le serveur SM-DP+. Des données expérimentales montrent que ce processus numérique est extrêmement vulnérable dans certains scénarios.

Le problème le plus courant survient lors de la « suppression hors ligne ». Lorsque l’utilisateur supprime le profil eSIM sans connexion Internet (par exemple, en désactivant le Wi-Fi ou en étant dans une zone sans signal), l’appareil ne peut pas envoyer de notification de mise à jour à distance. Si le serveur considère toujours le profil comme « installé », même après une nouvelle lecture du QR code d’origine, une erreur de « réinstallation » se produit, entraînant une interruption de service (DoS).

Ce type de verrouillage technique nécessite souvent une intervention manuelle du fournisseur de services pour être levé. De plus, certains fournisseurs peuvent utiliser des limites de stockage pour installer des profils anormalement volumineux, épuisant la capacité matérielle et empêchant l’installation de services concurrents. Les régulateurs doivent exiger des opérateurs qu’ils mettent en œuvre une authentification multi-facteurs (MFA) pour prévenir les attaques de type échange de SIM (SIM Swapping), et établir des normes de gestion numérique transparentes pour garantir la souveraineté de la communication des utilisateurs.