Longtemps considérées comme une solution plus sûre que les cartes SIM classiques, les eSIM font aujourd’hui face à une alerte de sécurité d’une ampleur inédite. Une faille détectée depuis 2019, mais restée non corrigée par Oracle, réapparaît en 2025 sous la forme d’une attaque éprouvée qui permet de cloner, surveiller et contrôler à distance des milliards de smartphones. Cette révélation soulève des questions critiques sur l’ensemble de l’écosystème mobile et les standards de sécurité qui l’encadrent.
Une faille exploitée en 2025.
En s’appuyant sur une vulnérabilité présente dans Java Card, la technologie embarquée dans les eSIM, les chercheurs de Security Explorations ont réussi à compromettre une carte Kigen eUICC, extrayant des clés cryptographiques privées. Ils ont ainsi pu :
- accéder à des profils eSIM de plus de 100 opérateurs internationaux (Orange, AT&T, Vodafone…)
- installer des applications malveillantes à distance via OTA,
- intercepter communications, SMS, et codes 2FA,
- cloner ou désactiver une carte sans contact physique.
La faille touche la logique même de l’eSIM : l’absence d’isolation entre les profils rend l’ensemble de la puce vulnérable si un seul profil est compromis.
Une confiance ébranlée dans cette technologie clé.
La faille ne concerne pas un modèle isolé. Elle souligne un problème structurel : l’obligation d’utiliser Java Card, exigée par la GSMA, impose une architecture déjà connue pour ses vulnérabilités. Cette attaque remet en question l’efficacité même des certifications de sécurité EAL4+.
L’industrie minimise, les chercheurs alertent
Kigen et Oracle tentent de contenir le scandale, mais les chercheurs insistent : la communauté tech ne peut plus dépendre d’un modèle de certification opaque. L’histoire se répète, comme avec les failles Spectre ou Meltdown, en soulignant la lenteur de réaction des acteurs dominants.
Que faire côté utilisateur ?
Face à la menace, les experts conseillent d’abandonner les SMS pour la double authentification. Les applications comme Google Authenticator ou les clés physiques type YubiKey restent beaucoup plus sûres. En entreprise, la question du MDM (Mobile Device Management) devient centrale.
Une gouvernance à vraisemblablement repenser.
La crise des eSIM pose une question plus large : qui valide la sécurité des infrastructures critiques ? La dépendance à des normes anciennes et à des acteurs peu transparents doit être reconsidérée. Côté européen, la réglementation sur la cybersécurité des objets connectés (Cyber Resilience Act) pourrait être un levier pour renforcer les exigences sur les composants logiciels embarqués.