Les cartes SIM, vous les connaissez : ces minuscules puces qui connectent nos téléphones au réseau mobile. Aujourd’hui, elles sont devenues... invisibles. L’eSIM, ou SIM embarquée, est intégrée directement dans nos smartphones, montres connectées ou objets IoT. Pratique, flexible, elle est partout. Et pourtant, elle n’est pas invulnérable.

Une faille critique vient d’être dévoilée dans les cartes eUICC — ce sont les composants électroniques qui font tourner les eSIM — du fabricant britannique Kigen. La vulnérabilité, mise au jour par le cabinet polonais Security Explorations, expose des millions d’appareils à des attaques de très haut niveau : clonage de profils, espionnage de communications, voire installation de portes dérobées impossibles à détecter. En cause : un mécanisme de test intégré à la spécification GSMA TS.48 (version 6.0 et antérieures). Ce « Generic Test Profile » sert normalement à valider la connectivité mobile avant la mise en service d’un appareil. Mais s’il reste actif en production, il devient une véritable porte d’entrée pour les pirates. Un attaquant peut alors injecter du code malveillant dans la carte, sans qu’aucune signature ne soit vérifiée. Résultat : profil cloné, surveillance discrète, et même géolocalisation furtive, le tout hors du radar des opérateurs.

Les risques sont majeurs : usurpation d’identité numérique via l’extraction de certificats, compromission d’appels ou de messages sécurisés, et intrusion dans des objets critiques comme des routeurs 5G, des dispositifs médicaux ou des véhicules connectés — certaines Peugeot ou Citroën récentes seraient concernées. La GSMA a réagi : une nouvelle version de la norme (TS.48 v7.0) désactive par défaut les profils de test. Kigen, de son côté, a reconnu la faille et récompensé les chercheurs à hauteur de 30 000 dollars. Mais selon eux, le problème de fond reste entier : la machine virtuelle Java Card utilisée sur ces cartes n’est pas assez sécurisée. D’autres attaques, via accès physique ou à distance, pourraient survenir. Un conseil : si votre appareil utilise une eSIM, appliquez les mises à jour de sécurité sans tarder. Car cette faille n’est pas un gadget de laboratoire — elle peut toucher n’importe qui, au quotidien.

Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.