Une équipe de recherche sur la sécurité a trouvé un défaut dans ESIM Tech qui pourrait permettre aux attaquants d'installer du code malveillant, de voler des secrets d'opérateur et de détourner les profils mobiles – le tout sans alarmes.

Le problème affecte la carte EUICC de Kigen, qui alimente les Sims numériques dans de nombreux téléphones et appareils IoT. Selon la société, plus de deux milliards de sims avaient été compatibles à la fin de 2020.

Le problème a été découvert par Security Explorations, un laboratoire de recherche polonais. Kigen a confirmé la faille et a payé au groupe une prime de bug de 30 000 $.

ESIMS fonctionne sans cartes physiques. Au lieu de cela, la SIM est stockée sur une puce dans l'appareil – connu sous le nom de EUICC – et permet aux utilisateurs de changer de plans mobiles à distance. Les opérateurs peuvent ajouter ou gérer des profils dans l'air, ce qui le rend plus flexible que les cartes SIM standard.

Mais cette flexibilité s'accompagne de risques. La vulnérabilité réside dans les versions plus anciennes (6.0 et moins) d'une spécification de profil de test appelé GSMA T.48, qui est utilisée pour les tests radio. Kigen a déclaré que la faille pourrait permettre à une personne ayant un accès physique à un appareil d'installer une applet voyou à l'aide de clés publiques. L'applet malveillant pourrait alors reprendre les parties clés du logiciel du SIM.

Kigen a déclaré que le correctif est inclus dans la version 7.0 de la spécification du profil de test GSMA, qui limite désormais la façon dont le profil de test peut être utilisé. Toutes les versions plus anciennes ont été obsolètes.

S'il est exploité, la faille pourrait laisser les attaquants extraire le certificat d'identité de l'EUICC. Cela ouvre la porte à des attaques beaucoup plus sérieuses – comme le téléchargement des profils d'opérateurs en texte en clair, l'accès à des secrets MNO sensibles et la falsification de la façon dont les profils sont installés et gérés. Dans certains cas, les attaquants pourraient glisser les profils sans détection.

Les chercheurs ont déclaré que cela s'appuyait sur des travaux antérieurs à partir de 2019, lorsqu'ils ont trouvé des bugs dans le système de cartes Java d'Oracle. Cette recherche antérieure a montré qu'il était possible de pénétrer dans la mémoire d'une SIM, de contourner ses murs de sécurité intérieure et d'exécuter du code non autorisé. Certains de ces bogues ont également affecté les cartes SIM fabriquées par Gemalto.

À l'époque, Oracle a minimisé les résultats, affirmant qu'ils n'avaient pas affecté les produits de la carte Java dans une utilisation réelle. Mais les explorations de sécurité indiquent maintenant que les défauts sont réels et liés directement aux menaces actuelles ESIM.

Bien que cela puisse ressembler à une barre haute pour les attaquants, l'équipe dit qu'il n'est pas hors de portée pour des acteurs bien respectés – y compris des groupes d'État-nation. Avec les bonnes conditions, un attaquant pourrait utiliser la faille pour planter une porte dérobée à l'intérieur d'un ESIM, surveiller l'activité des utilisateurs et contourner les télécommandes destinées à protéger la carte.

L'un des risques est que l'attaquant pourrait modifier un profil SIM téléchargé d'une manière qui empêche l'opérateur de le désactiver ou même de voir ce qui se passe. « L'opérateur peut recevoir une vision complètement fausse de l'état de profil », a déclaré l'équipe de recherche, « ou toutes ses activités peuvent être soumises à la surveillance. »

Un seul certificat volé – ou un EUICC compromis – pourrait être suffisant pour espionner les profils ESIM de tout opérateur. Les chercheurs disent que cela indique une faille profonde dans la façon dont le système ESIM est construit.

(Image de Tomek)