Un ami a refusé d'utiliser un eSIM pour son voyage à Istanbul l'année dernière. « Je ne lui fais pas confiance », a-t-il dit. « Et si quelqu'un pirate mon téléphone à distance et vole mon numéro ? » Il a ensuite acheté une carte SIM physique à un kiosque au hasard dans l'aéroport Atatürk, a remis son passeport à un inconnu, et a rempli un formulaire avec son adresse personnelle.
L'ironie lui a échappé.
Les inquiétudes concernant la sécurité de l'eSIM sont compréhensibles. C'est une technologie plus récente, elle est invisible (pas de carte physique à tenir), et la plupart des gens ne comprennent pas vraiment comment leur téléphone se connecte aux réseaux. Alors décortiquons cela sans jargon.
Comment fonctionne réellement la sécurité de l'eSIM
Chaque profil eSIM est téléchargé via un système appelé SM-DP+ (ne vous inquiétez pas de l'acronyme). Ce qui compte, c'est que ce système utilise le chiffrement de bout en bout entre le serveur et la puce intégrée de votre téléphone. Le profil — qui contient vos identifiants d'abonné — est chiffré avant de quitter le serveur et ne peut être déchiffré que par l'élément sécurisé spécifique de votre appareil.
Cet élément sécurisé est un matériel résistant à la falsification. C'est la même classe de puce qui stocke les détails de votre carte Apple Pay ou vos données d'empreinte digitale. Personne ne le lit à distance. Personne ne le clone en vous frôlant dans le métro.
Les cartes SIM physiques ? Elles utilisent certains des mêmes chiffrements pour l'authentification réseau, mais la carte elle-même peut être physiquement retirée, clonée avec du matériel bon marché, ou échangée par quelqu'un qui manipule le service client de votre opérateur.
Attaques par SIM swap : l'eSIM est en fait plus sûr
Le SIM swapping est une menace réelle. Des criminels appellent votre opérateur, les convainquent qu'ils sont vous, et transfèrent votre numéro vers une nouvelle SIM. Une fois qu'ils ont votre numéro, ils interceptent les codes d'authentification à deux facteurs et vident votre compte bancaire.
Voici le problème : l'eSIM rend cela plus difficile, pas plus facile. Avec une SIM physique, l'échange est simple — l'opérateur désactive votre ancienne carte et en active une nouvelle. Avec l'eSIM, le transfert de profil nécessite une authentification via la plateforme de gestion eSIM de l'opérateur, qui implique généralement des couches de vérification supplémentaires.
Certains opérateurs proposent maintenant des protections spécifiques à l'eSIM : PIN de verrouillage de profil, confirmation biométrique pour les transferts, et alertes en temps réel si quelqu'un tente de modifier votre profil eSIM. T-Mobile aux États-Unis, par exemple, propose une « Protection SIM » qui bloque entièrement les changements de SIM non autorisés.
Vie privée : que voit réellement votre fournisseur eSIM ?
Votre fournisseur eSIM peut voir les mêmes données que n'importe quel opérateur : les antennes relais auxquelles vous vous connectez (localisation approximative), la quantité de données utilisées, et quand vous êtes connecté. Il ne peut pas voir le contenu de votre trafic chiffré — votre navigation HTTPS, vos messages WhatsApp, vos e-mails.
Les eSIM de voyage comme TripoSIM ont un avantage en matière de vie privée par rapport à votre opérateur domestique : ils sont uniquement data et temporaires. Votre opérateur domestique a votre nom, adresse, coordonnées bancaires et des années d'historique de localisation. Un fournisseur d'eSIM de voyage a votre e-mail et un enregistrement d'utilisation des données pour 7 à 30 jours. Puis il expire.
Si la vie privée est une préoccupation majeure, un eSIM de voyage est sans doute plus privé que l'itinérance de votre opérateur domestique.
La question du QR code
Les gens s'inquiètent de l'interception du QR code. Et si quelqu'un capture une copie de votre QR code et utilise votre eSIM ?
Ça ne fonctionnera pas. Chaque QR code est à usage unique et lié à un appareil. Une fois que vous scannez et installez le profil, ce QR code est mort. Même si quelqu'un en avait une copie, il obtiendrait une erreur. Le serveur SM-DP+ le marque comme consommé dès que votre téléphone complète le téléchargement.
Cela dit, ne postez pas votre QR code sur Instagram avant de l'installer. Le bon sens s'applique toujours.
Risques réels à connaître
Aucune technologie n'est infaillible à 100 %. Voici les risques réels, correctement dimensionnés :
Téléphone perdu ou volé. Si quelqu'un vole votre téléphone et peut le déverrouiller, il a accès à vos profils eSIM. Même chose avec une SIM physique, sauf qu'il ne peut pas la retirer et la mettre dans un autre appareil. Utilisez un code d'accès fort. Activez Localiser mon iPhone ou Google Localiser mon appareil.
WiFi non sécurisé pendant l'installation. Vous avez besoin d'Internet pour télécharger un profil eSIM. Si vous installez en étant connecté à un réseau WiFi public douteux, il y a un risque théorique (accent sur théorique) d'attaque de l'homme du milieu. Le chiffrement SM-DP+ rend cela extrêmement peu probable, mais si vous êtes paranoïaque, installez via le WiFi de votre domicile. N'installez pas en étant connecté à « FREE_AIRPORT_WIFI_TOTALLY_LEGIT ».
Hameçonnage. Quelqu'un pourrait vous envoyer un faux e-mail « votre eSIM est prêt » avec un QR code malveillant. Cela n'installerait pas de logiciel malveillant — le système eSIM de votre téléphone n'accepte que les profils d'opérateurs valides — mais vous perdriez du temps et partageriez potentiellement des informations personnelles sur une fausse page de paiement. Ne scannez des QR codes que depuis le site web ou l'e-mail de votre vrai fournisseur d'eSIM.
Le bilan honnête
L'eSIM est au moins aussi sûr qu'une SIM physique, et à plusieurs égards importants, il l'est davantage. Le chiffrement est solide. Le matériel est résistant à la falsification. Les attaques par SIM swap sont plus difficiles. Les QR codes sont à usage unique.
Mon ami qui a acheté cette SIM à l'aéroport d'Istanbul ? Sa carte SIM physique a cessé de fonctionner après deux jours et il n'avait aucun recours car le type du kiosque était parti. Il a utilisé mon point d'accès eSIM pour le reste du voyage. Il est maintenant converti à l'eSIM.
Si vous êtes encore nerveux, commencez par un court voyage. Achetez un forfait de 7 jours, testez-le, voyez comment ça fonctionne. Vous vous demanderez pourquoi vous vous en êtes inquiété.