L’origine de cette faille remonte à un défaut de sécurité détecté dès 2019 dans la technologie Java Card, utilisée au cœur des cartes eSIM (eUICC). Adam Gowdiak, fondateur de Security Explorations, avait alors alerté Oracle sur un problème de « type confusion » dans la machine virtuelle Java (JVM) embarquée. Mais l’éditeur avait minimisé le risque. Ce manque de réaction a permis aux vulnérabilités de perdurer dans les eSIM, affectant potentiellement tous les produits basés sur cette architecture.
Une attaque inédite et démontrée
En 2025, les chercheurs sont parvenus à compromettre une carte Kigen eUICC utilisée dans des milliards d’appareils en exploitant cette ancienne faille. Après avoir extrait la clé cryptographique privée d’un modèle de test, ils ont pu télécharger en clair des profils eSIM de plus de 100 opérateurs, y compris AT&T, Orange, Vodafone, T-Mobile et China Mobile.
Grâce à ces données, ils ont prouvé qu’il était possible :
- d’installer des applications malveillantes à distance via OTA (Over-the-Air),
- de cloner des eSIM,
- d’intercepter des SMS, appels et codes 2FA,
- et même de brider ou de désactiver une carte à distance.
L’attaque a également mis en lumière l’absence d’isolation entre les profils eSIM : un profil compromis peut compromettre tous les autres profils stockés sur la même puce.
L’impact global : de l’espionnage à la perte de contrôle
Une démonstration frappante a été réalisée par Security Explorations il y a quelques jours en clonant une eSIM d’Orange Pologne. Deux téléphones ont utilisé le même profil, l’un étant légitime, l’autre malveillant. Résultat : appels et SMS destinés à l’utilisateur initial ont été redirigés vers l’appareil pirate, sans alerte ni trace visible.
Ce scénario pose un risque majeur pour les utilisateurs, notamment ceux utilisant des services sensibles comme Gmail ou les banques qui reposent sur la validation par SMS.
Plus inquiétant encore : une fois qu’un attaquant dispose des clés, l’installation de logiciels malveillants peut s’effectuer sans contact physique avec l’appareil cible.
Réactions et controverses dans l’industrie
Kigen, le fournisseur de la carte compromise, a publié un correctif OTA et une note de sécurité en minimisant la portée de la faille. Selon eux, seul un produit de test spécifique aurait été affecté. Cependant, Security Explorations réfute cette version, affirmant que l’ensemble de l’écosystème eSIM est potentiellement vulnérable, en raison des exigences GSMA imposant l’usage de Java Card sur toutes les eSIM.
La GSMA a mis à jour sa spécification TS.48 pour désactiver les profils de test et a publié des recommandations de sécurité. Mais les experts jugent ces mesures insuffisantes, car elles ne s’attaquent pas au cœur du problème : l’absence de vérification du bytecode Java dans les eSIM actuelles.
Une remise en cause des certifications de sécurité
Fait troublant : la carte compromise était certifiée EAL4+, un niveau d’assurance censé garantir une sécurité robuste. Cette faille met donc en doute la fiabilité des certifications de sécurité actuelles pour les composants critiques du secteur télécom.
Le rapport souligne aussi le rôle capital de la recherche indépendante dans la cybersécurité. Les avertissements ignorés en 2019 auraient pu éviter cette faille majeure. Selon les chercheurs, Oracle aurait dû corriger ces failles dès leur signalement.
Une alerte pour les utilisateurs de smartphones
L’étude révèle que même les smartphones haut de gamme de marques comme Samsung ou Apple pourraient héberger des eSIM vulnérables. Ces puces, souvent invisibles pour l’utilisateur, peuvent contenir des applications sensibles (paiement, clés numériques, etc.) et offrir une porte d’entrée privilégiée pour les cyberattaques.
Cette faille eSIM n’est pas seulement un incident technique. Elle remet en cause la confiance dans une technologie utilisée par des milliards de personnes et appelle à une mobilisation urgente des opérateurs, constructeurs et institutions de cybersécurité.
Dans ce contexte, il est vivement recommandé aux utilisateurs de ne plus dépendre du SMS pour l’authentification à deux facteurs (2FA). Les services sensibles comme les comptes bancaires ou les accès professionnels devraient plutôt être protégés par des applications d’authentification (type Google Authenticator, Authy) ou des clés de sécurité physiques (comme YubiKey), bien moins vulnérables aux attaques par interception ou clonage de SIM.
