Une équipe de chercheurs a mis en évidence une faille critique dans les eSIM. Celle-ci expose les appareils équipés à de l’espionnage et du vol de données. Cela concerne plus de 2 milliards d’appareils connectés. La carte SIM permet de connecter son appareil à un réseau mobile. Sa version dématérialisée, l’eSIM, a gagné en popularité. Non soumise aux contraintes du format physique, elle s’active rapidement, ne risque pas d’être perdue ou détériorée, évite les soucis de compatibilité (entre formats standard, micro et nano) et peut être instantanément désactivée en cas de vol du smartphone, avant d’être réactivée sur un nouvel appareil. Depuis 2016, Security Explorations, le laboratoire d’AG Security Research, effectue des recherches pour tester la sécurité des cartes SIM et eSIM. En 2019, le groupe a pu mettre en évidence une faille liée à la plateforme d’exécution Java Card. Oracle, le créateur, avait alors été alerté de la situation. Néanmoins, dernièrement, l’équipe de chercheurs est parvenue à identifier une vulnérabilité dans la carte eSIM de Kigen, carte qui équipe plus de 2 milliards d’appareils connectés. Plus précisément, il s’agit d’une carte soudée à la carte mère qui permet à l’appareil en question d’accéder au réseau mobile. Dans les grandes lignes, les chercheurs ont exploité la norme GSMA TS.48 v6.0 qui offre une fonction de test. C’est grâce à cette dernière que les fabricants peuvent accéder à des profils de test au moment de la phase de production. Le souci, c’est que si ce profil reste activé, n’importe qui peut installer un programme malveillant sur l’appareil sans l’obligation d’obtenir une autorisation bien définie de la part du fabricant ou de l’opérateur. Le code peut ainsi aider les cybercriminels à espionner, voire collecter, les données qui transitent par la puce. Les experts en sécurité ont par exemple pu télécharger plusieurs données en clair provenant de divers fournisseurs d’accès, dont Vodafone, Orange, Bouygues Telecom ou encore T-Mobile. Depuis, la GSM Association (GSMA) a déployé un correctif en faisant évoluer sa norme vers la version 7.0. Concrètement, l’accès au profil de test est désactivé et les installations de logiciels ne sont plus autorisées. Même si le problème a finalement été pris en charge, la situation permet de montrer qu’aucune technologie n’est infaillible. D’où l’importance d’avoir des groupes de recherche indépendants qui peuvent mettre en lumière ces failles avant qu’elles ne soient exploitées en masse par des cybercriminels.