La commodité a un prix ! Révélation des quatre principales vulnérabilités invisibles de l'eSIM : fuite de vie privée, risques de surveillance émergents

La technologie eSIM accélère le remplacement des cartes physiques, mais une architecture pratique de gestion à distance cache plusieurs risques. Des études ont révélé que le roaming international présente des problèmes de flux de données vers des juridictions spécifiques.

L’essor de la technologie eSIM et les risques liés à l’architecture

Les technologies de communication mobile entrent dans une phase critique de transformation numérique, et les cartes SIM physiques traditionnelles quittent rapidement le devant de la scène. Selon les prévisions de la GSMA, d’ici 2028, 50 % des smartphones dans le monde supporteront entièrement la technologie eSIM.

Cette révolution a atteint son apogée après le lancement de la version « eSIM Only » sur l’iPhone 14 sur le marché américain. La principale avantage de l’eSIM (module d’identité utilisateur intégré) réside dans la gestion à distance (Remote SIM Provisioning, RSP), permettant aux utilisateurs de changer d’opérateur en scannant un QR code ou en téléchargeant une application. Cependant, cette commodité dissimule des risques architecturaux profonds.

Une étude de l’Université Northeastern indique que la conception de l’eSIM amplifie les risques liés aux SIM traditionnels, et l’introduction de processus de gestion à distance complexes avec des agents tiers très peu transparents ouvre de nouvelles surfaces d’attaque. L’identification passe du composant physique à un flux de travail numérique, ce qui remet en question le contrôle de l’utilisateur sur la sécurité de ses communications.

Les pièges du roaming international, révélant les flux de données et la juridiction

Une enquête approfondie sur le marché des eSIM pour les voyages montre que les données des utilisateurs sont souvent dirigées vers des juridictions étrangères sans leur connaissance. La majorité des fournisseurs de eSIM pour les voyages utilisent une architecture de « roaming routé domestique » (Home-Routed Roaming, HRR). Même si l’utilisateur se trouve aux États-Unis et accède au réseau local, tout le trafic réseau, l’historique de navigation et les données d’utilisation des applications sont encapsulés et renvoyés au « réseau d’origine » du fournisseur eSIM pour traitement.

Des expérimentations ont montré qu’en utilisant le service Holafly basé en Europe, même en étant aux États-Unis, les données transitent par l’infrastructure de China Mobile, ce qui fait que l’adresse IP publique de l’appareil est géolocalisée en Chine.

Source : USENIX, détails sur les adresses IP, la localisation géographique et les fournisseurs d’accès Internet (FAI) des divers fournisseurs d’eSIM

Ce mécanisme donne aux opérateurs étrangers le pouvoir de surveiller l’activité en ligne des utilisateurs. Bien que certaines régions disposent de lois sur la confidentialité comme le RGPD, la complexité technique du roaming international crée des zones grises réglementaires, exposant potentiellement les utilisateurs à des risques de surveillance à l’étranger.

Confidentialité en danger ? Communication silencieuse et surveillance non autorisée

Le seuil d’entrée sur le marché de l’eSIM est extrêmement bas, ce qui entraîne l’émergence de nombreux revendeurs non régulés. Des chercheurs, en s’inscrivant comme revendeurs, ont découvert qu’il suffit d’un email et d’une carte de crédit pour accéder facilement à des données sensibles du backend utilisateur.

Sur des plateformes comme Telnyx, les revendeurs peuvent surveiller en temps réel l’état d’activation de l’eSIM et la consommation de données, et certains ont la capacité d’accéder à la localisation géographique basée sur la triangulation des stations de base. Certains revendeurs disposent de droits pour « attribuer une adresse IP publique fixe » et « envoyer des SMS binaires (Binary SMS) », ce qui permet à des acteurs malveillants de contourner la sécurité de l’appareil, en envoyant des charges malveillantes ou en établissant des canaux de commande à distance.

De plus, des services comme eSIM Access utilisant des matériels spécialisés tels que sysmoEUICC1 ont révélé que des activités de « communication proactive » (Proactive Communication) sont initiées en arrière-plan. Sans aucune application en cours d’exécution ou intervention de l’utilisateur, l’eSIM échange silencieusement des données avec des serveurs à Singapour ou Hong Kong. Ces activités, basées sur la boîte à outils d’applications SIM (STK), exposent les appareils mobiles à des menaces numériques.

De la suppression défaillante aux attaques par déni de service (DoS)

La gestion du cycle de vie de l’eSIM implique une synchronisation étroite entre l’appareil, le matériel eUICC et le serveur SM-DP+. Des données expérimentales montrent que ce processus numérique est extrêmement vulnérable dans certains scénarios.

Le problème le plus fréquent survient lors de la « suppression hors ligne ». Quand un utilisateur supprime le profil eSIM sans connexion Internet (par exemple, en désactivant le Wi-Fi ou en étant dans une zone sans signal), l’appareil ne peut pas envoyer de notification de mise à jour à distance. Si le serveur considère toujours le profil comme « installé », même après une nouvelle lecture du QR code d’origine, une erreur de « réinstallation » se produit, entraînant une interruption de service (DoS).

Ce type de verrouillage technique nécessite souvent une intervention manuelle du fournisseur de services pour être levé. De plus, certains fournisseurs peuvent exploiter des limites de stockage en installant des profils anormalement volumineux pour épuiser la capacité matérielle, empêchant ainsi l’installation de profils concurrents. Les régulateurs devraient exiger des opérateurs qu’ils mettent en œuvre une authentification multi-facteurs (MFA) pour prévenir les attaques de type échange de SIM (SIM Swapping), et établir des standards de gestion numérique transparents pour garantir la souveraineté des communications des utilisateurs.