HiCellTek HiCellTek
Plateforme API Tarifs Blog Guides Cas d'usage Contact
EN English
Demander une démo
Retour au blog
eSIMeUICCcybersécuritévulnérabilité

Faille eSIM CVSS 9.1 : clonage, interception et ce que la signalisation révèle

Des chercheurs ont cloné une eSIM Orange sans alerter la victime. Interception d'appels, vol de SMS 2FA, destruction de puce. Analyse technique de la faille eUICC.

Takwa Sebai
Takwa Sebai
Fondatrice & CEO, HiCellTek
17 mars 2026 · 3 min de lecture

Des chercheurs d’AG Security Research viennent de démontrer le clonage complet d’un profil eSIM Orange Pologne. Sans alerter la victime. Sans accès physique au terminal. Le score CVSS : 9.1 sur 10. Critique.

L’attaque permet l’interception d’appels et de SMS (y compris les codes 2FA), et peut aller jusqu’à la destruction permanente de la puce eUICC. D’autres vendeurs (Thales, NXP) pourraient être touchés.

L’architecture eSIM : comprendre pour mesurer le risque

L’eSIM n’est pas simplement une SIM virtuelle. C’est une plateforme sécurisée (eUICC) capable de stocker plusieurs profils opérateur et d’en activer un à distance.

L’architecture repose sur l’eUICC (puce physique, fabriquée par Kigen, Thales, NXP), le SM-DP+ (serveur opérateur), le SM-DS (répertoire), le LPA (logiciel terminal) et les protocoles OTA via SMS.

Les eUICC exécutent un environnement Java Card. C’est dans l’implémentation Java Card des puces Kigen que la faille a été découverte.

L’attaque : clonage silencieux via OTA

Le flux d’attaque :

  1. Envoi d’un SMS OTA spécialement formaté à l’eUICC cible
  2. Exploitation d’une vulnérabilité Java Card dans le traitement du message
  3. Extraction du profil eSIM (credentials Ki, OPc)
  4. Clonage du profil sur une autre eUICC
  5. L’attaquant se fait passer pour la victime sur le réseau

Avec un profil cloné, l’attaquant peut intercepter tous les appels, recevoir les SMS 2FA, émettre des appels au nom de la victime, et détruire la puce eUICC.

Fabricant eUICCPart de marchéStatut
Kigen (ARM)SignificativeConfirmé vulnérable
ThalesLeader mondialInvestigation en cours
NXPImportantInvestigation en cours
Samsung SDSCroissanteNon confirmé

Ce que la signalisation terrain révèle

Les messages OTA transitent par le réseau mobile sous forme de SMS-PP. Un décodeur Layer 3 capturant les messages NAS en temps réel peut détecter :

1. Des SMS OTA non sollicités : le message NAS Downlink NAS Transport contenant un SMS-PP avec un en-tête SPI spécifique au protocole OTA (SCP80/SCP81).

2. Des séquences d’authentification anormales : Paging Requests anormaux, Authentication Reject, Detach Requests implicites.

3. Des changements de TMSI accélérés : indication possible de resynchronisation après clonage.

4. Des redirections inter-RAT suspectes : downgrade vers le 2G pour exploiter l’absence de chiffrement.

Le parallèle avec Salt Typhoon

AspectSalt TyphoonFaille eSIM
CibleCœur de réseau opérateurPuce eUICC terminal
VecteurVulnérabilités connues non patchéesProtocole OTA via SMS
ImpactInterception massiveClonage + interception individuelle
Détection classiqueInvisible aux NOCInvisible aux utilisateurs
Détection terrainAnomalies Layer 3Anomalies signalisation NAS

Dans les deux cas, la détection passe par une analyse de la signalisation que les outils de monitoring standard ne fournissent pas.

Recommandations

Pour les équipes sécurité opérateur

  1. Auditer les puces eUICC du parc terminal
  2. Déployer un filtrage OTA renforcé sur les plateformes SMS
  3. Implémenter la détection de double enregistrement dans le HSS/UDM
  4. Mener des campagnes d’audit terrain avec un décodeur Layer 3

Pour les utilisateurs

  1. Privilégier l’authentification par application (TOTP) plutôt que par SMS
  2. Surveiller les déconnexions réseau inexpliquées
  3. Contacter l’opérateur en cas de comportement suspect

L’eSIM devait renforcer la sécurité en éliminant la carte SIM physique. La faille CVSS 9.1 rappelle que la sécurité ne dépend pas du facteur de forme, mais de l’implémentation. Et l’implémentation se vérifie sur le terrain, pas dans une fiche technique.

Partager : LinkedIn X
Takwa Sebai
Takwa Sebai

Fondatrice HiCellTek. +15 ans dans les télécoms, côté opérateur, côté éditeur, côté terrain. Construit l'outil terrain que les ingénieurs RF méritent.

LinkedIn Contact
Prêt à passer au terrain ?

Demandez une démo personnalisée de HiCellTek, diagnostic réseau 2G/3G/4G/5G sur Android.

Demander une démo Voir le produit

Articles similaires

17/03/2026
Salt Typhoon : pourquoi le diagnostic terrain est devenu un impératif de cybersécurité télécom
cybersécuritéSalt TyphoonLayer 3
28/04/2026
5G RedCap en avril 2026 : qui déploie, ce qui change pour les tests, et comment valider un module sur réseau commercial
RedCap5G NRRelease 17
27/03/2026
Network Slicing 5G et NIS2 : sécuriser les tranches d'infrastructure critique
network slicing 5gdirective nis2infrastructure critique

Recevez des insights RF & tips terrain

Désabonnement en un clic. Données traitées dans l'UE.