Un logiciel malveillant peut-il se cacher derrière une eSIM ?

La part de l’eSIM parmi les forfaits mobiles vendus continue d’augmenter et de plus en plus de personnes apprécient la facilité d’installation et la flexibilité accrue. Mais des problèmes de sécurité surgissent régulièrement. Que se passerait-il, par exemple, si un fournisseur peu scrupuleux envoyait des logiciels malveillants via le code QR ? Les codes omniprésents peuvent aussi renvoyer à des sites de phishing ou lancer un téléchargement. Mais les codes QR sont loin d’être tous identiques, raison pour laquelle la question demande une explication plus approfondie.

Les problèmes de sécurité liés aux logiciels malveillants et à la carte eSIM proviennent du fait que les codes QR contiennent généralement une URL qui mène à une page Web. Il n’est souvent pas possible de savoir immédiatement si ces pages sont fiables et dans quelle mesure. La question se pose donc, en particulier pour les fournisseurs inconnus : que pourrait-il se passer si vous scanniez le code QR d’un profil eSIM ?

Les codes QR utilisés pour installer les profils eSIM ne sont pas de simples URL. Ils disposent d’informations supplémentaires qui les identifient auprès du terminal comme un tarif de téléphonie mobile. Votre smartphone peut donc déjà reconnaître s’il s’agit d’une eSIM grâce au code QR.

Si vous scannez le code et donnez l’ordre à votre smartphone d’installer la carte eSIM, une connexion est établie avec un serveur sur lequel votre profil eSIM est enregistré. Celui-ci est alors téléchargé sur votre smartphone et vous êtes connecté au réseau de l’opérateur correspondant.

Le code QR scanné a donc pour fonction, d’une part, de signaler à votre smartphone qu’il y a un forfait mobile à installer et, d’autre part, d’indiquer au serveur de l’opérateur quel profil eSIM spécifique vous avez acheté. Ainsi, les informations nécessaires peuvent être échangées entre votre smartphone et le réseau de l’opérateur afin que vous puissiez vous connecter au réseau.

Il est évident qu’il ne s’agit pas d’URL typiques. Ce qui reste, c’est la question de la sécurité de l’ensemble du processus, car un code eSIM relie également votre smartphone à un serveur. Au fond, c’est la même chose qu’une URL web ordinaire, n’est-ce pas ?

Heureusement, nous pouvons vous rassurer sur ce point également. Les profils eSIM étant des données sensibles, les normes nécessaires ont été mises en place pour que la transmission soit aussi sûre que possible.

Le programme de votre smartphone qui installe la carte eSIM est le gestionnaire de carte SIM. Celui-ci ne peut lire que les codes QR qui renvoient effectivement à un profil eSIM. C’est également le gestionnaire de la SIM qui vous informe lorsque vous scannez le code QR avec l’application appareil photo de votre smartphone. Dans ce cas, l’application appareil photo vous indique également s’il s’agit d’un forfait mobile ou d’un site web.

Sur les smartphones plus anciens, il est également possible qu’un lien s’affiche lorsque vous scannez le code avec l’appareil photo. Si ce lien commence par : « LPA : », il s’agit d’un profil eSIM.

La communication avec le serveur de ton opérateur est protégée par des certificats. Il s’agit de certificats GSMA officiels. Sans un tel certificat, le processus d’installation est interrompu sur votre smartphone. Un fournisseur ne peut donc pas non plus développer des profils eSIM « malveillants ». Ceux-ci ne seraient tout simplement pas téléchargés sur votre smartphone.

La seule source potentielle de dommages qui reste est une visite accidentelle d’un site web malveillant.

Même si le processus d’installation de l’eSIM est très sûr, il est théoriquement possible qu’un code QR vous soit vendu comme eSIM et qu’il renvoie à un site web malveillant.

Pour éviter que cela ne vous arrive, prenez l’habitude de vérifier brièvement, à chaque scan QR, où le code doit vous conduire avant de taper sur le lien.

Si vous avez reçu un code QR en tant qu’eSIM et que votre smartphone ne reconnaît pas le code comme un forfait mobile, vous ne devez pas cliquer sur le lien. Si vous avez scanné un code QR pour une page web, vérifiez si l’URL correspond à la page web que vous souhaitez atteindre et si la connexion est suffisamment sécurisée (https:// est la norme pour la plupart des sites web, http:// est considéré comme non sécurisé et devrait être évité).

Si vous faites attention à ces détails, plus rien ne s’oppose à une installation sûre de l’eSIM.

Si vous êtes intéressé par une eSIM pour la Suisse, jetez un coup d’œil à nos tarifs eSIM! Toutes les eSIM de Digital Republic sont livrées avec un volume de données illimité en Suisse, sont personnalisables en termes de vitesse et incluent la 5G.

Nous ne connaissons d’ailleurs pas non plus de durée minimale de contrat ou de délai de résiliation, afin que vous soyez connecté de manière aussi libre et flexible que le promet la technologie eSIM.