Les cartes SIM intégrées dans les équipements connectés sont devenues un levier privilégié pour industrialiser certaines formes de fraude. Souvent perçue comme un simple composant de connectivité, la SIM joue pourtant un rôle structurant dans la sécurité des systèmes IoT. Selon Wireless Logic, la multiplication des vols de SIM dans des équipements accessibles au public révèle un risque encore largement sous-estimé, à la fois opérationnel et financier.
Des équipements du quotidien devenus des cibles
Ascenseurs, bornes SOS d’autoroute, bornes de recharge pour véhicules électriques, interphones, alarmes ou distributeurs automatiques : ces infrastructures reposent largement sur des cartes SIM M2M ou IoT pour assurer la maintenance à distance, la télésurveillance ou les appels d’urgence. Leur présence dans des équipements accessibles physiquement en fait des cibles faciles.
Plusieurs incidents récents en témoignent. En 2023, à Aubervilliers, des vols répétés de cartes SIM ont conduit à l’immobilisation d’ascenseurs dans un parc social, impactant plusieurs milliers de logements. Des situations similaires ont été observées en 2024 sur des bornes SOS d’autoroute en Île-de-France, puis en 2025 en Seine-Maritime sur des bornes de recharge pour véhicules électriques, rendant ces dispositifs hors service.
« La carte SIM reste souvent perçue comme un simple composant de connectivité, alors qu’elle joue un rôle structurant dans la sécurité globale des systèmes IoT »
Matthieu Le Bayon, Head of IoT Partnerships chez Wireless Logic.
Au-delà des pannes ou du vandalisme, les conséquences peuvent être financières. Une SIM dérobée peut être utilisée pour émettre des volumes massifs de SMS frauduleux, les coûts étant contractuellement supportés par le propriétaire du dispositif. Avec la convergence croissante entre environnements IT et OT, une SIM compromise peut également devenir une porte d’entrée vers des réseaux plus larges, augmentant les risques pour les données et les opérations.
L’industrialisation de la fraude par les « SIM farms »
Le phénomène s’inscrit dans un contexte plus large d’industrialisation de la fraude. Plusieurs opérations menées récemment en Europe ont mis au jour des infrastructures de type « SIM farm », capables d’envoyer des volumes massifs de messages ou d’appels frauduleux.
En Espagne, une infrastructure capable d’émettre jusqu’à 2,5 millions de SMS par jour a été démantelée. D’autres pays ont également intensifié leurs actions. Le Royaume-Uni a annoncé l’interdiction de ces dispositifs, l’Allemagne a mené des raids et des saisies, tandis que la Belgique remplace progressivement certaines bornes d’appel d’urgence par l’application Edwige.
Ces initiatives témoignent d’une prise de conscience croissante du rôle que peuvent jouer les cartes SIM dans les opérations de fraude à grande échelle.
Intégrer la sécurité dès la conception des dispositifs IoT
Face à ces risques, la sécurisation de la connectivité devient un enjeu central dans les architectures IoT. L’approche consiste à intégrer des mécanismes de protection dès la conception des dispositifs.
Parmi les mesures possibles figurent le verrouillage d’une carte SIM à un équipement spécifique via l’IMEI locking, la mise en place d’alertes lors d’un changement d’IMEI, la détection d’usages anormaux ou encore les restrictions géographiques et de roaming. Le monitoring en temps réel du trafic réseau permet également de vérifier que la connectivité reste alignée avec l’usage initial du dispositif.
L’évolution vers l’eSIM renforce ces capacités de contrôle, notamment à travers les spécifications SGP.32 de la GSMA, qui facilitent la gestion sécurisée du cycle de vie des cartes SIM à distance. La technologie IoT SAFE complète ce dispositif en utilisant la SIM comme espace sécurisé pour vérifier l’identité des appareils et protéger leurs communications.
« Concrètement, même si une carte SIM est physiquement volée, elle ne peut pas se faire passer pour l’équipement d’origine. Les accès peuvent être révoqués immédiatement, ce qui limite fortement les risques de fraude ou de détournement », conclut Matthieu Le Bayon.
