Source et contexte: Publication de recherche présentée au 34e USENIX Security Symposium (USENIX Security ’25), par des chercheurs de Northeastern University, portant sur les risques de sécurité et de vie privée de l’écosystème eSIM et de la Remote SIM Provisioning (RSP).

• Constat général: L’adoption des eSIM (notamment pour les voyages) introduit de nouveaux risques liés au routage des données, au rôle des revendeurs, aux communications proactives STK et au contrôle du cycle de vie des profils. Les auteurs mènent des mesures empiriques (traceroute/IP, analyse de tableaux de bord revendeurs, capture STK via sysmoEUICC1 + SIMtrace2, tests en réseau LTE privé) et publient leurs jeux de données.

• Routage et exposition juridictionnelle 🌐: De nombreux profils voyage recourent au Home-Routed Roaming (HRR), ce qui fait transiter le trafic via des cœurs de réseaux tiers (p. ex. China Mobile), attribuant des IPs publiques étrangères même si l’utilisateur se trouve aux États-Unis; cela soulève des risques de surveillance, inférence de localisation et accès à des contenus géo-restreints. Les auteurs opposent HRR et Local Breakout (LBO) (moins courant chez les eSIM voyage) et détaillent des traces montrant des sauts vers Hong Kong/Taïwan. Exemple: un eSIM Holafly sort via China Mobile; l’adresse SM-DP+ utilisée (rsp1.cmlink.com) est aussi chez China Mobile.

• Écosystème des revendeurs et pouvoirs étendus ⚠️: Barrière d’entrée faible, plateformes en marque blanche et API permettent à des revendeurs (ex. eSIMAccess, Telnyx) d’accéder à des identifiants sensibles (IMSI, MSISDN, parfois eSIM PIN), d’envoyer des SMS aux appareils, d’assigner des IP publiques statiques et d’obtenir la localisation (estimation par cellule). Les auteurs montrent qu’un iPhone muni d’un eSIM Telnyx à IP publique répond au ping et peut exposer un serveur HTTP directement sur Internet.

• Communications proactives et SMS silencieux 📱: Des profils testés (ex. eSIMAccess, Holafly) initient des sessions STK invisibles (open/send/close) ou récupèrent des SMS sans action utilisateur (ex. message depuis un numéro de Hong Kong), et contactent des serveurs distants (ex. IP à Singapour), illustrant des échanges backend opaques et transfrontières.

• Gestion des profils et échec de suppression: La suppression d’un profil nécessite que l’état soit notifié au SM-DP+. Si l’opération se fait hors-ligne, le serveur peut conserver l’état « installé », bloquant la réinstallation (effet DoS-like). Cas observé chez Mint Mobile: échec de handshake TLS lors de la notification, nécessitant l’émission d’un nouveau profil. Les auteurs notent aussi des restrictions d’usage fréquentes (installation une seule fois, liaison à l’EID, impossibilité de transfert), et évoquent la possibilité théorique qu’un profil volumineux puisse saturer la mémoire eUICC et empêcher d’autres installations.

• Réseaux privés et menaces: Dans des déploiements privés (hôpitaux, événements), la distribution via QR codes peut faciliter l’installation de profils malveillants, le suivi de localisation, la réception de SMS binaires et modifications de réglages. Les auteurs ont tenté un MITM de la RSP (mitmproxy) sans succès grâce au TLS; en revanche, des faiblesses d’authentification côté support client (ex. transfert eSIM) peuvent exposer aux SIM swap. Des différences réglementaires EU/US sont discutées, ainsi que des pistes d’amélioration et la nécessité de meilleures garanties.

Conclusion: Il s’agit d’une publication de recherche visant à documenter empiriquement les risques de vie privée et de sécurité incontournables dans l’écosystème eSIM (routage, revendeurs, STK, cycle de vie des profils, réseaux privés) et à éclairer les frontières de confiance et besoins de transparence/régulation.

🧠 TTPs et IOCs détectés

TTP

[‘HRR pour le routage des données via PGW du réseau d’origine’, ‘LBO plus rare chez eSIM voyage’, ‘STK proactif (ouverture/envoi/fermeture de canal)’, ‘Récupération d’SMS non sollicités’, ‘Phishing/QR codes distribuant de faux profils eSIM’, ‘Assignation d’IP publiques aux terminaux’, ‘API revendeurs donnant accès à IMSI/MSISDN/PIN, envoi de SMS administratifs’, ‘Suppression hors-ligne entraînant un blocage de réinstallation (état non synchronisé côté SM-DP+)’, ‘Tentative MITM RSP contrecarrée par TLS’]

IOC

[‘Domaines/URLs: rsp1.cmlink.com (SM-DP+, China Mobile)’, ‘consumer.rsp.world (SM-DP+ utilisé dans les tests privés)’, ‘simtransfer.goog/esim (transfert eSIM Android)’, ‘IPs publiques: 223.118.51.96 (China Mobile)’, ‘18.138.95.198 (Singapour)’, ‘Numéro SMS: +8526765671903 (Hong Kong)’]

🔗 Source originale : https://www.usenix.org/conference/usenixsecurity25/presentation/motallebighomi