La sécurité IoT a longtemps été pensée en termes de protocoles, de chiffrement, de mises à jour firmware. Rarement en termes de visserie. C’est pourtant là que commence parfois la fraude : un boîtier mal fixé, un équipement accessible, et une carte SIM extraite en quelques secondes. Ce que l’on croyait être un simple “tuyau” de connectivité devient alors un actif monétisable, exploitable à grande échelle. Et la facture, elle, revient toujours à l’exploitant légitime.
Au cours de l’été 2023, une série de vols de cartes SIM dans des ascenseurs d’immeubles sociaux à Aubervilliers a suffi à déclencher une crise opérationnelle en chaîne : ascenseurs immobilisés, locataires bloqués, interventions multipliées, plainte de l’Office public de l’habitat. En quelques semaines, une part significative du parc social était touchée. Même s’il commence à dater, cet incident a montré que la menace IoT peut être aussi concrète qu’un pied-de-biche. Depuis, des scénarios similaires ont notamment ciblé des bornes d’appel d’urgence sur des autoroutes d’Île-de-France, faisant l’objet d’une enquête judiciaire.
Pourquoi la SIM IoT intéresse les fraudeurs
Une SIM M2M déjà active et déjà payée constitue, en effet, une ressource prête à l’emploi. Une fois extraite et insérée dans un autre terminal, elle peut alimenter une “SIM farm” artisanale pour l’envoi massif de SMS frauduleux, des campagnes de smishing, des appels automatisés, destests de numéros à grande échelle, etc. Les coûts générés (communications hors-forfait, dépassements de volume, incidents de supervision…) retombent systématiquement sur le propriétaire de l’équipement d’origine. Et lorsque la connectivité IoT est pontée vers des systèmes de maintenance ou de supervision internes, le risque n’est plus seulement financier. La SIM volée devient dès lors un point d’entrée potentiel vers un système d’information plus large.
Vers un verrouillage renforcé
La parade efficace consiste à réduire la liberté d’action de la SIM elle-même grâce à différentes approches :
- Lier la SIM à son équipement : le verrouillage IMEI/IMEISV, lorsqu’il est disponible, permet de détecter immédiatement tout changement d’identifiant terminal et d’en tirer une alerte automatique.
- Réduire la surface d’usage au strict nécessaire. Si l’objet n’a pas besoin de la voix ni des SMS, ces canaux doivent être désactivés par défaut ; le roaming bloqué, les volumes plafonnés, les destinations géographiques contraintes.
- Rendre la fraude économiquement et temporellement intenable avec une supervision en temps réel, des seuils d’alerte calibrés sur les usages normaux, et surtout une procédure de suspension opérable en minutes (pas en jours).
L’eSIM : un levier utile, pas une solution totale
L’eSIM IoT et ses capacités de gestion à distance (provisionnement, suspension, rotation, réaffectation de profil, etc.) apportent une vraie reprise de contrôle sur le cycle de vie de la connectivité. Elles facilitent la réponse à incident et limitent l’exposition en cas de vol. Mais elles ne remplacent pas le durcissement physique et opérationnel.
Si un équipement reste accessible et vandalisable, la question à se poser est la suivante : qu’est-ce qui empêche l’abus même après un accès physique ? C’est là qu’une approche “SIM comme identité d’objet” (intégrant attestation matérielle, secrets liés au dispositif, vérification d’intégrité) peut créer une barrière supplémentaire, à condition d’être pensée dès la conception et non ajoutée après coup.
Ce que ces incidents nous disent sur la maturité IoT
Ces affaires ne sont pas à prendre comme des simples faits divers. Elles révèlent une lacune de maturité dans la façon dont les déploiements IoT intègrent la sécurité physique à leur modèle de menace. La SIM y est encore trop souvent traitée comme un consommable, sans politique d’usage, sans surveillance comportementale, sans procédure de révocation.
La leçon ? Si la SIM peut être extraite, elle le sera. Et si elle sort sans protection, elle sera exploitée. A vous de faire en sorte que le fait de la cibler ne servira à rien.
