Les applications eSIM de voyage sont bien pratiques : ça évite d’avoir un forfait mobile international ou bien d’acheter une SIM locale. Mais contrairement à ce qu’elles racontent, elles ne sont pas à l’abri de risques de confidentialité ou de sécurité de vos données. Une étude de l’université Northeastern avec Usenix Secutiry de 2025 montre les dangers des applications eSIM, ceux qu’elles ne veulent pas que vous voyiez.
Les eSIM de voyage sont plus opaques que votre opérateur mobile
Le marché des eSIM de voyage s’est développé autour d’un usage simple : acheter un forfait en ligne, scanner un QR code, puis se connecter presque immédiatement. Une fluidité qui repose sur le Remote SIM Provisioning (ou RSP), qui permet de télécharger et d’activer un profil à distance via une eUICC, un SM-DP+ et le LPA du téléphone. Beaucoup de termes compliqués pour expliquer qu’en bref, une carte SIM virtuelle est installée sur votre smartphone.
Le problème, c’est que ce modèle remplace une relation relativement lisible avec un opérateur par une chaîne d’acteurs plus opaque, où revendeur, fournisseur de gros, MVNO (des opérateurs dits « virtuels », qui n’ont pas d’infrastructure réseau) et opérateur réseau ne sont pas toujours clairs pour le consommateur. C’est précisément là que les risques augmentent, car l’utilisateur ne sait pas toujours qui traite ses données, ni dans quel pays elles transitent : « bien que le protocole RSP soit conçu pour sécuriser les communications contre les adversaires basés sur le réseau, il suppose que tous les participants sont fiables, ce qui rend la gestion des certificats et la mise en œuvre sécurisée essentielles à sa sécurité. »
Par exemple, vous pouvez acheter un forfait sur une application eSIM, mais ce n’est pas ladite application qui a négocié des forfaits avec l’opérateur local : elle est passée par un intermédiaire. Et plus elle commande de forfaits, moins elle les paie chers. Autre fonctionnement : plus elle sélectionne des forfaits « bas de gamme », moins ceux-ci font l’objet d’un soin au niveau de la confidentialité des données des utilisateurs.
Voyagez aux États-Unis, votre réseau passe par la Chine
L’étude révèle surtout une chose : plusieurs applications eSIM font transiter vos données par des serveurs situés dans un autre pays que celui dans lequel vous vous situez. On appelle ça du routage, et il peut parfois être très éloigné de votre localisation physique. Une pratique que nous remarquons fréquemment lors de nos tests de forfaits eSIM à l’étranger et qui se comporte exactement comme un VPN : certaines en font d’ailleurs un argument de vente. Certaines applications n’y ont jamais recours, d’autres systématiquement.
Les chercheurs ont constaté qu’après installation de plusieurs eSIM de voyage, l’adresse IP publique du smartphone correspond fréquemment à un autre pays, parfois lié à des opérateurs de télécommunications tiers. L’exemple qui interroge le plus est celui de Holafly, dont le trafic a pu être routé via China Mobile… en Chine. Au point que la géolocalisation IP faisait apparaître l’appareil comme situé en Chine quand le GPS était désactivé. Un routage qui a pourtant des conséquences directes pour les utilisateurs. Par exemple, vous voyagez au Maroc et achetez un forfait eSIM. Votre connexion est routée depuis l’Allemagne et alors, vos recherches Google vous montreront des résultats comme si vous étiez en Allemagne et les publicités sur Spotify seront… en allemand. Autre conséquence, une latence plus élevée et des débits moins performants. Des conséquences moindres par rapport à un routage dans des pays sensibles, à l’instar de la Chine.
À noter que les forfaits mobiles internationaux recourent systématiquement à cette pratique, mais de manière plus contrôlée. Si vous avez un forfait mobile français, le réseau transitera obligatoirement par la France, en plus de transiter par le réseau mobile local. Il n’y a aucun autre intermédiaire, aucun revendeur entre les deux.
Les dangers des applications eSIM de voyage pour vos données
Le premier risque est juridictionnel. Si le trafic transite par une infrastructure étrangère, les métadonnées et potentiellement certains contenus sont soumis aux règles et aux pratiques de ce pays, ce qui complique la maîtrise de la confidentialité. Malheureusement, l’étude ne pousse par le sujet plus loin.
Le deuxième risque concerne les revendeurs d’eSIM. L’étude montre que des plateformes de revente peuvent accéder à des identifiants comme l’IMSI, l’ICCID, le MSISDN, le code PIN eSIM, voire des informations de localisation estimée, et qu’elles peuvent aussi envoyer des SMS aux utilisateurs. D’autant plus que l’étude note aussi que les barrières à l’entrée pour devenir revendeur sont étonnamment faibles, avec des offres clé en main et des applications en marque blanche. Cette facilité favorise l’expansion du marché, mais elle complique la vérification de la conformité, de la gouvernance des données et des pratiques de support.
Le troisième risque est la communication « proactive ». Les chercheurs ont observé des eSIM qui ouvrent des sessions discrètes ou récupèrent des SMS sans intervention de l’utilisateur, via des mécanismes hérités du SIM Application Toolkit. Tout ceci offre un mécanisme de piratage par SMS, pour les applications eSIM non fiables, ou mêmes celles qui pourraient se faire pirater.
Trop d’opacité pour les clients
Dans quelques cas, l’eSIM est aussi utilisée dans des réseaux privés, par exemple dans l’industrie ou des environnements hospitaliers, et le papier signale des risques spécifiques liés à ces déploiements locaux. En entreprise, la question devient surtout celle du contrôle administratif, des politiques de provisioning et de la segmentation des accès. Cela dit, même dans un réseau privé, l’architecture eSIM ne dispense pas d’une vraie gouvernance de la donnée et des certificats.
Tout ceci montre qu’il y a une opacité du traitement des données et du routage. Beaucoup d’applications eSIM n’indiquent pas clairement quels sont les réseaux mobiles exploités dans tel ou tel pays avec leurs forfaits de données. Pour le connaître, il faut se rendre sur place et tester (ce que nous faisons sur Rotek). Néanmoins, aucune application n’indique si elle effectue du routage par un pays étranger, ni lequel si elle en effectue un. Aujourd’hui, le contrôle réglementaire de ces forfaits est minimal et il devrait être renforcé, au même titre que les forfaits mobiles traditionnels, vendus par les opérateurs réseau directement ou par des MVNO.
Nous vous conseillons donc de privilégier des fournisseurs qui sont transparents sur le pays d’origine, les réseaux mobiles partenaires et la politique de traitement des données. Sur ces points, Ubigi, Sim Local ou encore Saily sont parmi les meilleurs élèves. L’étude recommande par ailleurs de supprimer les profils inutilisés et de vérifier régulièrement les eSIM installées sur votre smartphones, ainsi que de se méfier des QR codes reçus (mail, SMS, etc.).
