Une vulnérabilité majeure a été identifiée dans la pile logicielle eSIM (eUICC) développée par Kigen, un fournisseur basé en Irlande dont la technologie équipe plus de 2 milliards de dispositifs IoT à travers le monde. Cette faille permet à un attaquant ayant un accès physique à un appareil de compromettre l’eUICC, d’en extraire les certificats cryptographiques sensibles et d’accéder frauduleusement à des profils opérateurs mobiles.
La vulnérabilité, révélée par la société de cybersécurité Security Explorations, remet en question les fondations de la chaîne de confiance sur laquelle repose l’écosystème eSIM.
Détails techniques
Le problème provient d’un composant standardisé : le Generic Test Profile défini par la spécification TS.48 de la GSMA, utilisé pour les tests radio lors de la certification des appareils. Les versions de cette spécification antérieures à la v7.0 présentent une faiblesse importante : elles permettent le chargement d’applets JavaCard non authentifiées, à l’aide de clés connues et non sécurisées.
Une fois qu’un attaquant a installé une applet malveillante, il est en mesure de déverrouiller le contenu sécurisé de la carte eUICC, y compris les clés privées et les certificats d’identité. Ces éléments permettent ensuite de télécharger ou modifier des profils eSIM légitimes à distance, tout en contournant les restrictions imposées par les opérateurs.
Chaîne d’exploitation
Le scénario d’attaque comprend plusieurs étapes critiques :
Accès physique à l’appareil ciblé : condition préalable pour toute exploitation.
Activation du profil de test générique (GTP) : souvent laissé activé pendant les phases de fabrication ou de certification.
Utilisation de clés par défaut pour installer un applet malveillant.
Extraction des identifiants (certificats et clés) de la carte eSIM.
Utilisation frauduleuse de profils eSIM : téléchargement, modification ou clonage des profils opérateurs.
Conséquences potentielles
Les impacts de cette vulnérabilité sont graves, en particulier dans les cas d’attaques ciblées ou d’espionnage à grande échelle :
Vol d’identité numérique des appareils.
Manipulation des communications mobiles en modifiant les profils opérateurs.
Surveillance des utilisateurs via des canaux eSIM compromis.
Propagation à grande échelle, car les profils compromis peuvent être réutilisés pour attaquer d’autres dispositifs.
Références aux vulnérabilités passées
Cette faille s’inscrit dans la continuité de découvertes similaires effectuées en 2019, lorsque des vulnérabilités JavaCard avaient été révélées par la même société de recherche, affectant notamment les cartes SIM de marques comme Gemalto.
Mesures correctives
Face à cette menace, plusieurs actions ont été engagées :
La GSMA a publié une nouvelle version TS.48 (v7.0), corrigeant les failles identifiées.
Kigen a diffusé un bulletin de sécurité et recommande vivement à ses clients de mettre à jour leur firmware.
Les versions antérieures de la spécification TS.48 sont désormais obsolètes et ne doivent plus être utilisées dans les processus de test.
Conclusion
Cette vulnérabilité met en lumière une faiblesse structurelle dans l’écosystème eSIM, notamment dans les processus de certification et de test. Elle démontre que, sans un contrôle rigoureux de l’accès aux profils de test et une gestion stricte des clés, la sécurité de l’ensemble de la chaîne mobile peut être compromise.
Les entreprises, fabricants d’appareils et opérateurs doivent agir rapidement en appliquant les mises à jour nécessaires et en adoptant les dernières recommandations de la GSMA et de Kigen