Une vulnérabilité a été identifiée dans un système eSIM largement utilisé à travers le monde. Des chercheurs en cybersécurité alertent sur un risque potentiel pour plusieurs milliards de smartphones, objets connectés et appareils industriels.
C’est une faille discrète, mais d’une ampleur potentiellement considérable. Selon une enquête publiée ces derniers jours par plusieurs laboratoires spécialisés en cybersécurité, une vulnérabilité a été découverte dans un composant clé de l’infrastructure eSIM, cette technologie de carte SIM embarquée présente dans de nombreux appareils connectés récents.
La société britannique Kigen, fournisseur de solutions eUICC (Embedded Universal Integrated Circuit Card), est au centre de l’affaire. Plus de deux milliards d’appareils dans le monde utiliseraient ses technologies eSIM, que l’on retrouve dans les smartphones, montres connectées, tablettes, objets connectés industriels ou de consommation.
Une faille nichée dans un profil de test
Ce sont les chercheurs de Security Explorations, une société polonaise spécialisée dans l’analyse de failles logicielles critiques, qui ont levé le voile sur ce dysfonctionnement. Le point faible se situait dans une version de test du système eSIM, connue sous l’appellation GSMA TS.48 Generic Test Profile, en versions 6.0 et antérieures.
Ce profil est normalement destiné aux fabricants, aux opérateurs ou aux laboratoires pour tester les fonctionnalités réseau d’un appareil durant sa phase de certification. Or, ce profil contenait une faille permettant, sous certaines conditions, à un acteur malveillant disposant d’un accès physique à l’appareil, d’y installer un applet JavaCard non vérifié, autrement dit un petit programme pouvant altérer le comportement de la carte.
Dans le pire des cas, cette faille aurait pu permettre à un attaquant de cloner une eSIM, intercepter des communications ou détourner des SMS d’authentification, éléments clés dans les systèmes de double authentification, aujourd’hui massivement utilisés par les banques ou les services numériques.
Kigen et la GSMA réagissent rapidement
Informée par les chercheurs dès le mois de mars 2025, la société Kigen a aussitôt reconnu la vulnérabilité et déployé un correctif à ses partenaires industriels. En parallèle, l’association GSMA, qui regroupe les grands opérateurs télécoms mondiaux et coordonne les standards eSIM, a publié une nouvelle version du profil de test, baptisée TS.48 v7.0.
Cette mise à jour vient bloquer plusieurs vecteurs d’exploitation de la faille : suppression de l’accès aux clés RAM dans les profils de test, interdiction d’installer des applets, durcissement de la sécurité du système d’exploitation JavaCard utilisé dans les modules eUICC.
« Ce type de profil n’est pas destiné à être présent sur les appareils finaux. Toutefois, dans certains cas, des fabricants ont pu livrer des produits avec des versions de test actives, ce qui ouvre une brèche », précise un ingénieur en sécurité chez Orange.
Des conditions d’attaque strictes
L’exploitation de la faille, bien que théoriquement possible, nécessite une combinaison d’éléments difficile à réunir : un accès physique prolongé à l’appareil, l’activation du mode test, la présence du profil vulnérable et des clés d’administration non modifiées.
« Ce n’est pas une faille de type remote ou utilisable à distance sur un large parc d’appareils. Mais dans un contexte d’espionnage industriel ou de surveillance ciblée, elle peut avoir un réel impact », indique l’expert polonais Adam Gowdiak, fondateur de Security Explorations.
À titre de démonstration, les chercheurs ont réussi à cloner une eSIM contenant un profil Orange et à l’utiliser sur un autre téléphone. Des messages, des appels et même des codes d’authentification destinés à l’appareil initial étaient alors interceptés sur le second. Une situation qui, si elle avait été reproduite à grande échelle, aurait pu poser un problème de sécurité nationale dans certains pays.
Un risque désormais écarté ?
Selon Kigen, la totalité de ses clients industriels ont reçu et appliqué le correctif. La version vulnérable du profil TS.48 est désormais considérée comme obsolète. La GSMA a appelé tous les fabricants et opérateurs à désactiver tout profil de test restant dans les équipements commercialisés.
Les utilisateurs finaux , »particuliers ou entreprises » n’ont, pour leur part, aucune action directe à entreprendre, dans la mesure où les mises à jour sont poussées automatiquement via les opérateurs ou fabricants de smartphones.
Toutefois, l’incident pose une nouvelle fois la question de la sécurité des modules eSIM, dont le fonctionnement repose sur une couche logicielle de type JavaCard, technologie développée dans les années 1990 et parfois critiquée pour son manque d’agilité face aux menaces modernes.
Une course continue contre les vulnérabilités
Le domaine de la sécurité mobile reste une course permanente entre chercheurs, entreprises et cybercriminels. Les récompenses accordées par les programmes dits de « bug bounty » (prime aux découvreurs de failles) en témoignent : Security Explorations a perçu 30 000 dollars pour sa découverte, un montant conforme aux standards du secteur pour une faille jugée critique.
Reste que l’incident touche un point sensible : les profils techniques laissés en place à des fins de test ou de certification peuvent représenter une menace s’ils ne sont pas désactivés avant la mise sur le marché des produits. Une négligence qui n’est pas rare dans les cycles industriels accélérés.
« Chaque acteur de la chaîne , du fabricant de puces au distributeur final , doit assumer une part de responsabilité dans la sécurisation de l’infrastructure eSIM », insiste un responsable de la cybersécurité chez un grand opérateur français.
Une technologie en pleine expansion
L’eSIM, plébiscitée pour sa flexibilité, équipe déjà la majorité des smartphones haut de gamme. Apple, Samsung, Google, Xiaomi, mais aussi les fabricants d’objets connectés (Garmin, Huawei, Withings…) l’ont intégrée à leurs produits. À l’avenir, cette technologie pourrait remplacer totalement les cartes SIM physiques, notamment avec l’arrivée de la 5G standalone.
Dans les secteurs industriels, l’eSIM permet de connecter des capteurs, des véhicules, des compteurs intelligents, ou encore des drones, dans des environnements sans intervention humaine. L’affaire Kigen montre que cette connectivité permanente doit aller de pair avec une vigilance constante.
À retenir
- Une faille critique a été identifiée dans un profil de test eSIM utilisé pour certifier les appareils embarquant la technologie Kigen.
- L’exploitation nécessitait un accès physique à l’appareil, mais permettait l’installation de programmes malveillants et la compromission de la carte eSIM.
- Une mise à jour est désormais disponible via les réseaux d’opérateurs et les mises à jour logicielles.
- Le risque pour le grand public est désormais écarté, mais des pratiques industrielles plus rigoureuses sont attendues à l’avenir.
Source : Security Explorations