web-dev-qa-db-fra.com

esim vs carte sim, quoi de plus sécurisé?

Je peux lire de nombreux vecteurs d'attaque différents comme l'échange et le portage, mais je ne sais pas si toutes ces attaques sont pertinentes à propos d'eSIM, pouvez-vous expliquer quels sont les risques de sécurité et les vecteurs d'attaque qui cibleront l'eSIM?

man-in-the-middlemobilesimcard
6
Filipon

Je soupçonne que les vecteurs d'attaque pour les eSIM seront largement les mêmes que pour les cartes SIM physiques, et voici ma pensée:

Vecteurs d'attaque actuels

  • Les principales attaques contre les cartes SIM ne ciblent pas réellement les cartes SIM ou les supports de carte SIM, elles ciblent les processus sous-jacents d'enregistrement et d'approvisionnement de la carte SIM . D'où la popularité des attaques par swap sim.
  • Les processus et les personnes qui sont le point faible de ces attaques ne changent pas. Je me souviens quand j'ai reçu mon eSIM (cela peut évidemment être différent pour vous), le processus pour l'activer était essentiellement juste un échange de sim, ce qui signifie si un agent de support ou une personne avec un accès peut être amené à troquer ma carte SIM, la nature de la carte SIM ne fait vraiment aucune différence.

Selon la Communications Fraud Control Association (CFCA), la fraude d'identité dans les télécommunications pendant le processus d'abonnement reste l'une des méthodes les plus courantes de fraude dans les télécommunications.

  • L'authentification et la "magie cryptographique" qui sous-tendent la connexion de votre téléphone au réseau (en fonction de la carte SIM) ne changent pas non plus. L'eSIM est essentiellement une copie virtuelle de la physique carte qui contient les mêmes informations mais la stocke dans un format différent. Cela implique que les vecteurs d'attaque pour des choses comme MiTM ne changent pas non plus.

Comme les cartes insérables qui les précèdent, les eSIM (ou eUICC, si vous le souhaitez) détiennent toutes les informations d'identification nécessaires pour se connecter à un réseau mobile.

Puisque vous recherchez une source fiable, jetez un œil à cette présentation à l'Agence de l'Union européenne pour la cybersécurité où le présentateur note les lacunes dans l'assurance lorsqu'il s'agit de fournir des eSIM comme un problème critique .

améliorations de la sécurité eSIM

Cependant, cela dit, je pense que l'aspect physique de la sécurité s'améliore comme l'ont mentionné certains commentateurs, mais que la valeur de la sécurité est négligeable compte tenu des vecteurs d'attaque populaires.

  • Étant donné que l'eSIM est désormais stocké numériquement de manière sécurisée (Secure Enclave sur les appareils iOS par exemple) sur l'appareil, le retirer pour lire son contenu devrait être plus difficile que de le retirer physiquement d'un emplacement pour carte SIM et de le placer dans un lecteur de carte SIM.

Nouveaux problèmes de sécurité eSIM potentiels

Il y a aussi quelques nouveaux problèmes théoriques introduits par les eSIM, mais comme il y a peu de preuves publiques de leur exploitation, ils restent exactement cela - théoriques.

  • Jetez un oeil à cet article qui allègue qu'en raison de la fourniture en direct des profils d'opérateur, l'échange de fraude peut devenir encore plus facile (techniquement pas un nouveau vecteur d'attaque - juste un moyen plus facile d'exploiter un vecteur d'attaque connu)

Bien que la fourniture en direct de profils d'opérateur et permettant à tous les participants de l'écosystème de se connecter à un service en ligne puisse améliorer la convivialité et la commodité, cela ouvre également la porte à des opportunités de piratage ...

  • Il y a aussi cet article qui note correctement que l'impossibilité de simplement sortir la carte SIM pour empêcher le suivi, peut entraîner des problèmes de confidentialité.

Jusqu'à présent, il était possible de retirer la carte SIM d'un téléphone et ainsi l'empêcher d'accéder à un réseau, ce qui rend son suivi plus difficile. Un circuit intégré câblé supprime efficacement cette option, ce qui rend d'autant plus difficile d'empêcher un appareil d'être traçable.

Donc, en résumé, il est peu probable que les principaux vecteurs d'attaque changent, car les vulnérabilités qui les ont inspirés n'ont pas changé. De plus, les avantages de sécurité physique des eSIM ne s'appliquent pas à ces vecteurs d'attaque et sont donc largement inutiles pour se protéger contre eux. Enfin, de nouveaux problèmes liés à la confidentialité de l'utilisateur final peuvent surgir mais sont pour la plupart théoriques à ce stade.

6
ilikebeets