Une étude menée par l’Université Northeastern révèle que de nombreux fournisseurs d’eSIM routent le trafic des utilisateurs via des réseaux étrangers, notamment chinois, sans transparence. Ces pratiques soulèvent de sérieuses inquiétudes en matière de sécurité, de vie privée et de souveraineté numérique.
Une récente étude de l’Université Northeastern met en lumière des risques insoupçonnés liés à l’utilisation des cartes eSIM pour les voyageurs. Présentée lors du 34e USENIX Security Symposium à Seattle, l’analyse démontre que de nombreux fournisseurs redirigent le trafic de leurs clients vers des réseaux étrangers, dont ceux de China Mobile, sans l’indiquer clairement aux utilisateurs.
En testant 25 fournisseurs populaires, tels que Holafly, Airalo ou encore eSIM Access, les chercheurs ont constaté que l’adresse IP attribuée aux appareils ne correspondait souvent pas à leur localisation réelle. Dans certains cas, les connexions étaient systématiquement acheminées par des infrastructures en Chine, faisant apparaître les utilisateurs comme physiquement présents dans ce pays.
Cette pratique soulève d’importantes préoccupations concernant l’exposition des données à des juridictions étrangères, notamment pour les voyageurs qui croyaient utiliser un service localisé dans la zone de leur séjour.
L’étude souligne également la facilité déconcertante avec laquelle il est possible de devenir revendeur d’eSIM. Une simple adresse e-mail et un moyen de paiement suffisent pour créer une offre de revente. Or, ces acteurs disposent ensuite d’un accès privilégié à des informations sensibles, telles que les numéros IMSI et parfois même la localisation des appareils, avec une précision pouvant atteindre 800 mètres.
Les chercheurs ont observé des comportements invisibles pour l’utilisateur, comme des connexions silencieuses à des serveurs étrangers ou la récupération automatique de SMS. Ces communications cachées reposent sur des mécanismes de gestion internes (SIM Application Toolkit), initialement prévus pour la configuration réseau, mais désormais détournés de manière opaque.
Face à ces constats, l’équipe recommande de renforcer les obligations de transparence des fournisseurs, notamment concernant le routage des données et les pratiques de revente. Elle appelle également à la mise en place de cadres réglementaires clairs, définissant les responsabilités entre opérateurs, grossistes et revendeurs.
Un jeu de données complet ainsi que la méthodologie employée seront prochainement publiés sur GitHub, afin de soutenir de futures recherches sur la sécurité des eSIM.
Source : iTnews