La commodité a un prix ! Révélation des quatre principales vulnérabilités invisibles de l'eSIM : fuite de vie privée, risques de surveillance émergents

La technologie eSIM accélère le remplacement des cartes physiques, mais une architecture pratique de gestion à distance cache plusieurs risques. Des études ont révélé que le roaming international présente des problèmes de flux de données vers certaines juridictions judiciaires.

L’essor de la technologie eSIM et les risques liés à l’architecture

Les technologies de communication mobile entrent dans une phase critique de transformation numérique, et les cartes SIM physiques traditionnelles quittent rapidement le devant de la scène. Selon les prévisions de la GSMA, d’ici 2028, 50 % des smartphones dans le monde supporteront entièrement la technologie eSIM.

Cette révolution a atteint son apogée après le lancement de la version « eSIM Only » sur l’iPhone 14 sur le marché américain. La principale avantage de l’eSIM (module d’identité utilisateur intégré) réside dans la gestion à distance (Remote SIM Provisioning, RSP), permettant aux utilisateurs de changer d’opérateur en scannant un QR code ou en téléchargeant une application. Cependant, cette commodité dissimule des risques architecturaux profonds.

Un rapport de l’Université Northeastern indique que la conception de l’eSIM amplifie les risques liés aux SIM traditionnels, et l’introduction de processus de gestion à distance complexes avec des tiers agents très peu transparents ouvre de nouvelles surfaces d’attaque. L’identification passe du composant physique à un flux de travail numérique, ce qui remet en question le contrôle de l’utilisateur sur la sécurité de ses communications.

Les pièges du roaming international, révélant le flux de données et la juridiction

Une étude approfondie du marché eSIM pour le tourisme montre que les données des utilisateurs sont souvent dirigées vers des juridictions étrangères sans que ces derniers en soient conscients. La majorité des fournisseurs de eSIM pour le tourisme utilisent une architecture de « roaming routé à domicile » (Home-Routed Roaming, HRR). Même si l’utilisateur se trouve aux États-Unis et accède au réseau local, tout le trafic réseau, l’historique de navigation et les données d’utilisation des applications sont encapsulés et renvoyés au « réseau d’origine » du fournisseur eSIM pour traitement.

Des expérimentations ont montré qu’en utilisant le service Holafly basé en Europe, même en étant aux États-Unis, les données transitent par l’infrastructure de China Mobile, ce qui fait que l’adresse IP publique de l’appareil est géolocalisée en Chine.

Source : USENIX, détails sur les adresses IP, leur localisation géographique et les fournisseurs d’accès Internet (ISP) pour divers fournisseurs d’eSIM

Ce mécanisme donne aux opérateurs étrangers le pouvoir de surveiller l’activité en ligne des utilisateurs. Bien que certaines régions disposent de lois sur la confidentialité comme le GDPR, la complexité technique du roaming international crée des zones grises réglementaires, exposant potentiellement les utilisateurs à des risques de surveillance à l’étranger.

La vie privée en danger ? Communication silencieuse et surveillance non autorisée

Le seuil d’entrée sur le marché eSIM est extrêmement bas, ce qui entraîne l’émergence de nombreux revendeurs non régulés. Des chercheurs, en s’inscrivant comme revendeurs, ont découvert qu’il suffit d’un email et d’une carte de crédit pour accéder facilement à des données sensibles du backend utilisateur.

Sur des plateformes comme Telnyx, les revendeurs peuvent surveiller en temps réel l’état d’activation de l’eSIM et la consommation de données, et certains ont même accès à la localisation géographique basée sur la station de base. Certains revendeurs disposent de droits pour « attribuer une adresse IP publique fixe » et « envoyer des SMS binaires (Binary SMS) », ce qui permet à des acteurs malveillants de contourner la sécurité de l’appareil, d’envoyer des charges malveillantes ou d’établir des canaux de commande à distance.

De plus, des dispositifs spécialisés comme sysmoEUICC1 ont permis de découvrir que des services comme eSIM Access initient en arrière-plan des « communications proactives » (Proactive Communication). Sans aucune application en cours d’exécution ou intervention de l’utilisateur, l’eSIM échange silencieusement des données avec des serveurs à Singapour ou Hong Kong. Ce type d’activité dissimulée, basé sur l’outil STK (Sim Toolkit), expose l’appareil mobile à des menaces numériques.

De la suppression défaillante aux attaques DoS

La gestion du cycle de vie de l’eSIM implique une synchronisation étroite entre l’appareil, le hardware eUICC et le serveur SM-DP+. Des données expérimentales montrent que ce processus numérique est extrêmement vulnérable dans certains scénarios.

Le problème le plus fréquent survient lors de la « suppression hors ligne ». Si un utilisateur supprime le profil eSIM sans connexion Internet (par exemple, en désactivant le Wi-Fi ou en étant dans une zone sans signal), l’appareil ne peut pas envoyer de notification de mise à jour à distance. Si le serveur considère toujours le profil comme « installé », même après une nouvelle lecture du QR code original, une erreur de « réinstallation » empêche l’utilisation, provoquant une attaque de déni de service (DoS).

Ce type de verrouillage technique nécessite souvent une intervention manuelle du fournisseur de services pour être levé. Certains opérateurs peuvent également utiliser des limites de stockage pour installer des profils anormalement volumineux, épuisant ainsi la capacité du matériel et empêchant l’installation de profils concurrents. Les régulateurs devraient exiger des opérateurs qu’ils mettent en œuvre une authentification multi-facteurs (MFA) pour prévenir les attaques de type échange de SIM (SIM Swapping), et établir des standards de gestion numérique transparents pour garantir la souveraineté des communications des utilisateurs.