<\/p>\n\n\n\n
\nSIM farms and large-scale attacks show that telecom security is no longer optional\u2014it\u2019s essential.<\/strong>
With mobile networks becoming more complex, emerging threats can disrupt entire cities. The recent New York SIM farm seizure highlights the risk: sophisticated attacks could paralyze critical communications. Protecting emergency services and essential connections now requires adaptive security and user prioritization. The rest of the article is in French, but feel free to translate it for detailed insights.<\/p>\n<\/blockquote>\n\n\n\n<\/p>\n\n\n\n
Les fermes de cartes SIM et autres attaques massives d\u00e9montrent que la s\u00e9curit\u00e9 des t\u00e9l\u00e9communications n\u2019est plus un luxe\u202f: elle devient essentielle pour pr\u00e9server nos villes, nos services d\u2019urgence et notre quotidien connect\u00e9.<\/em><\/strong><\/p>\n\n\n\n
Avec l\u2019essor des technologies mobiles et la complexification des r\u00e9seaux de t\u00e9l\u00e9communications, de nouvelles menaces \u00e9mergent, capables de perturber massivement les communications urbaines. L\u2019incident r\u00e9cent \u00e0 New York, o\u00f9 une ferme SIM g\u00e9ante a \u00e9t\u00e9 saisie, illustre parfaitement ce risque : un dispositif sophistiqu\u00e9 pouvait paralyser une partie du r\u00e9seau t\u00e9l\u00e9phonique de la ville. Face \u00e0 ces attaques in\u00e9dites, il devient crucial de repenser la s\u00e9curit\u00e9 des infrastructures critiques, en priorisant certains utilisateurs et en mettant en place des m\u00e9canismes de r\u00e9silience adaptatifs pour prot\u00e9ger les services d\u2019urgence et les communications essentielles.<\/strong><\/p>\n\n\n\n
Renforcement des contr\u00f4les d\u2019acc\u00e8s r\u00e9seau (RAN\/Core)<\/h2>\n\n\n\n
\ud83d\udd39<\/strong> D\u00e9tection et limitation de la densit\u00e9 SIM par cellule<\/strong><\/p>\n\n\n\n
\n
- Mettre en place des algorithmes d\u2019anomalie sur le HLR\/HSS<\/strong> ou AMF (5G) pour d\u00e9tecter :\n
\n
- Un grand nombre de SIM appartenant \u00e0 un m\u00eame IMSI range attach\u00e9es dans une seule cellule.<\/li>\n\n\n\n
- Des patterns d\u2019attachement\/d\u00e9tachement anormaux ou cycliques.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Ces signatures sont typiques des fermes SIM qui \u00e9mulent du trafic pour rester actives.<\/li>\n<\/ul>\n\n\n\n
\ud83d\udd39 G\u00e9olocalisation et corr\u00e9lation radio<\/strong><\/p>\n\n\n\n
\n
- Croiser la position g\u00e9ographique des SIM actives avec leur identifiant de groupe IMSI\/MSISDN.<\/li>\n\n\n\n
- Une forte concentration dans une seule zone physique<\/strong> (ou indoor fixe) est un indicateur clair de SIM farm.<\/li>\n\n\n\n
- Automatiser la g\u00e9olocalisation par TDOA\/TA<\/strong> pour alerter sur ces comportements.<\/li>\n<\/ul>\n\n\n\n
Analyse comportementale et filtrage intelligent<\/h2>\n\n\n\n
\ud83d\udd39<\/strong> M\u00e9canismes d\u2019anti-fraude au niveau SMSC \/ GMSC<\/strong><\/p>\n\n\n\n
\n
- D\u00e9ployer un SMS Firewall (type AdaptiveMobile ou Cellusys)<\/strong> capable d\u2019identifier :\n
\n
- Des volumes anormaux de SMS sortants depuis des SIM M2M ou pr\u00e9pay\u00e9es.<\/li>\n\n\n\n
- Des envois vers des plages de num\u00e9ros similaires (phishing).<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Mettre en place des r\u00e8gles heuristiques<\/strong> bas\u00e9es sur :\n
\n
- Taux de delivery failure.<\/li>\n\n\n\n
- Patterns temporels (rafales nocturnes, s\u00e9quences rapides, etc.)<\/li>\n\n\n\n
- Similarit\u00e9 textuelle (d\u00e9tection de campagnes automatis\u00e9es).<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
\ud83d\udd39 Machine Learning c\u00f4t\u00e9 op\u00e9rateur<\/strong><\/p>\n\n\n\n
\n
- Construire un mod\u00e8le supervis\u00e9 sur les CDRs pour d\u00e9tecter des comportements non-humains :\n
\n
- Ratio appels\/SMS irr\u00e9aliste.<\/li>\n\n\n\n
- Fr\u00e9quence d\u2019authentification trop \u00e9lev\u00e9e.<\/li>\n\n\n\n
- Absence de mobilit\u00e9 radio r\u00e9elle.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Renforcement du provisioning et de la tra\u00e7abilit\u00e9 SIM<\/h2>\n\n\n\n
\n
- Limiter le nombre de SIM actives par client<\/strong> (contr\u00f4le sur le CRM \/ HLR).<\/li>\n\n\n\n
- Appliquer une v\u00e9rification KYC stricte<\/strong> pour les activations massives.<\/li>\n\n\n\n
- Auditer r\u00e9guli\u00e8rement les plages IMSI allou\u00e9es \u00e0 des MVNO\/M2M : ces plages sont souvent utilis\u00e9es pour les fermes SIM.<\/li>\n<\/ul>\n\n\n\n
\ud83d\udd39 eSIM \/ iSIM comme alternative<\/strong><\/p>\n\n\n\n
\n
- Migrer progressivement les clients IoT ou entreprises vers des profils eSIM manag\u00e9s<\/strong> :\n
\n
- Cela permet de r\u00e9voquer ou suspendre \u00e0 distance<\/strong> les profils suspects.<\/li>\n\n\n\n
- R\u00e9duit le risque de duplication physique massive.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Surveillance de la signalisation (SS7, Diameter, 5G SBA)<\/h2>\n\n\n\n
Les fermes SIM peuvent \u00eatre coupl\u00e9es \u00e0 des attaques de signalisation pour brouiller ou d\u00e9tourner les sessions.<\/p>\n\n\n\n
\ud83d\udd39<\/strong> Mettre en place un pare-feu SS7\/Diameter<\/strong><\/p>\n\n\n\n
\n
- Bloquer les requ\u00eates suspectes : SendRoutingInfo, UpdateLocation, etc.<\/li>\n\n\n\n
- Surveiller les messages inter-PLMN provenant d\u2019adresses non autoris\u00e9es.<\/li>\n<\/ul>\n\n\n\n
\ud83d\udd39<\/strong> Audit de configuration sur les interfaces interconnect\u00e9es<\/strong><\/p>\n\n\n\n
\n
- V\u00e9rifier la configuration des STP \/ DRA pour \u00e9viter des routes \u201couvertes\u201d vers des op\u00e9rateurs tiers non v\u00e9rifi\u00e9s.<\/li>\n<\/ul>\n\n\n\n
\u00a0Mesures d\u2019att\u00e9nuation r\u00e9seau<\/h2>\n\n\n\n
\n
- En cas de d\u00e9tection d\u2019une ferme SIM :\n
\n
- Blacklister les IMSI \/ MSISDN<\/strong> correspondants dans le HLR\/HSS.<\/li>\n\n\n\n
- R\u00e9orienter le trafic<\/strong> suspect vers une APN de quarantaine (sandbox \/ honeypot pour analyse).<\/li>\n\n\n\n
- Restreindre la bande passante<\/strong> ou le nombre d\u2019attachements simultan\u00e9s par plage IMSI.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Collaboration & Threat Intelligence<\/h2>\n\n\n\n
\n
- Pour contrer les attaques massives, les op\u00e9rateurs \u00e9changent des signaux d\u2019alerte<\/strong> sur les cartes SIM, appareils ou comportements suspects via des plateformes internationales comme GSMA Fraud Intelligence Sharing<\/strong> ou ETSI Threat Exchange<\/strong>. Cette coop\u00e9ration permet de d\u00e9tecter et bloquer rapidement les menaces<\/strong>, prot\u00e9geant ainsi les r\u00e9seaux et les utilisateurs \u00e0 l\u2019\u00e9chelle mondiale.<\/li>\n\n\n\n
- \u00c9changer des indicateurs (IMSI ranges, IMEI patterns, fingerprints de modems GSM) via :\n
\n
- GSMA Fraud Intelligence Sharing<\/strong><\/li>\n\n\n\n
- ETSI Threat Exchange Platform<\/strong><\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Ces donn\u00e9es permettent de rep\u00e9rer les fermes op\u00e9rant sur plusieurs r\u00e9seaux.<\/li>\n<\/ul>\n\n\n\n
\u00c9volutions technologiques<\/h2>\n\n\n\n
\n
- Sur la 5G SA, tirer parti du Network Slicing<\/strong> :\n
\n
- Isoler les flux IoT\/M2M des flux grand public pour \u00e9viter les interf\u00e9rences.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Int\u00e9grer des m\u00e9canismes d\u2019identit\u00e9 forte SIM \u2194 terminal (IMEI binding)<\/strong> pour emp\u00eacher le reflash ou la duplication.<\/li>\n<\/ul>\n\n\n\n
En r\u00e9sum\u00e9 : solutions concr\u00e8tes par couche<\/h2>\n\n\n\n
Niveau<\/strong><\/td> Mesure cl\u00e9<\/strong><\/td> Objectif<\/strong><\/td><\/tr> RAN<\/strong><\/td> D\u00e9tection de densit\u00e9 SIM \/ g\u00e9olocalisation<\/td> Identifier les fermes physiques<\/td><\/tr> Core (HLR\/HSS\/AMF)<\/strong><\/td> Anomalie d\u2019attache \/ volume<\/td> Bloquer les patterns non humains<\/td><\/tr> SMSC \/ GMSC<\/strong><\/td> SMS firewall ML<\/td> Stopper les campagnes massives<\/td><\/tr> Signalisation<\/strong><\/td> Pare-feu SS7 \/ Diameter<\/td> Prot\u00e9ger contre le d\u00e9tournement<\/td><\/tr> KYC \/ Provisioning<\/strong><\/td> Limitation et v\u00e9rification SIM<\/td> Emp\u00eacher la cr\u00e9ation de fermes<\/td><\/tr> Supervision globale<\/strong><\/td> SIEM + Threat Intel<\/td> Corr\u00e9ler les incidents et r\u00e9agir vite<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Des SIM de type diff\u00e8rent pour \u00e9viter les blocages de syst\u00e8me cruciaux<\/h2>\n\n\n\n
Pourquoi l\u2019id\u00e9e est pertinente<\/h3>\n\n\n\n
\n
- Permet de pr\u00e9server la disponibilit\u00e9<\/strong> des services critiques en cas d\u2019attaque (ex: donner priorit\u00e9 voix\/SMS\/bearer \u00e0 des SIM \u00ab secours \/ police \u00bb).<\/li>\n\n\n\n
- Facilite des mesures diff\u00e9renci\u00e9es<\/strong> (throttling, quarantaine, blacklisting granulaire) plut\u00f4t que blocage massif aveugle.<\/li>\n\n\n\n
- Compatible avec des m\u00e9canismes existants : QoS (GPRS\/QCI, 5G QoS), policy control (PCRF\/PCF), APN s\u00e9par\u00e9s, Network Slicing, eSIM management.<\/li>\n<\/ul>\n\n\n\n
Principales difficult\u00e9s \/ risques<\/h3>\n\n\n\n
\n
- Gestion d\u2019identit\u00e9 et d\u2019abus<\/strong>\n
\n
- Si un acteur malveillant obtient des SIM \u00ab prioritaires \u00bb, il peut contourner la protection. KYC et contr\u00f4le strict d\u2019\u00e9mission sont cruciaux.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- S\u00e9curit\u00e9 et tra\u00e7abilit\u00e9<\/strong>\n
\n
- Marquer une SIM comme \u00ab policier \u00bb ou \u00ab secours \u00bb cr\u00e9e une cible d\u2019attaque (exfiltration, clonage). Besoin d\u2019\u00e9l\u00e9ments mat\u00e9riels \/ certificats.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Interop\u00e9rabilit\u00e9 et roaming<\/strong>\n
\n
- Priorit\u00e9s locales peuvent ne pas \u00eatre respect\u00e9es en roaming. N\u00e9cessite accords inter-PLMN ou signalisation sp\u00e9cifique.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- R\u00e9glementation & vie priv\u00e9e<\/strong>\n
\n
- Favoriser certains abonn\u00e9s peut poser des questions l\u00e9gales (neutralit\u00e9, discrimination). Il faut cadre juridique et transparence.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Complexit\u00e9 op\u00e9rationnelle<\/strong>\n
\n
- Gestion d\u2019inventaires IMSI\/IMSI ranges, politiques dynamiques, supervision accrue \u2014 co\u00fbt et risque d\u2019erreur.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n
Conception technique \u2014 principes cl\u00e9s<\/h3>\n\n\n\n
\n
- Cat\u00e9gorisation SIM<\/strong>\n
\n
- D\u00e9finir classes (exemples) : CRITICAL (services d\u2019urgence, police), RESERVE (backup infra), BUSINESS (entreprises), PREPAID, NORMAL (grand public), M2M_IoT.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Binding forte SIM \u2194 identit\u00e9<\/strong>\n
\n
- KYC strict, IMEI binding, certificats SIM (ISD-R\/secure element), stockage de cl\u00e9s dans SIM secure element ou eSIM\/iSIM avec attestation.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Profil r\u00e9seau d\u00e9di\u00e9<\/strong>\n
\n
- Pour chaque classe : APN d\u00e9di\u00e9, QoS template (QCI\/5G QoS \/ ARP), policy rules nomm\u00e9s, routes de quarantaine.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Policy en temps r\u00e9el<\/strong>\n
\n
- PCRF\/PCF applique r\u00e8gles (throttling, priorit\u00e9, redirection). Supporter actions automatiques (blacklist IMSI, mettre sur APN de quarantaine, r\u00e9duire rate SMS).<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- D\u00e9tection + orchestration<\/strong>\n
\n
- SIEM\/CDR analytics d\u00e9clenche policies automatiques (ex : si d\u00e9tection ferme SIM -> limiter PREPAID \u00e0 X req\/min, maintenir CRITICAL \u00e0 pleine capacit\u00e9).<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- S\u00e9curit\u00e9 de provisionning<\/strong>\n
\n
- Emission via processus s\u00e9curis\u00e9, audits, acc\u00e8s restreint, use-of-eSIM for critical classes to allow remote revoke.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n
M\u00e9canismes d\u2019impl\u00e9mentation r\u00e9seau (concret)<\/h3>\n\n\n\n
\n
- Au RAN<\/strong>\n
\n
- Limiter attaches simultan\u00e9es par IMSI range \/ par ICCID \/ par MSISDN sur cellule.<\/li>\n\n\n\n
- Marquer bearers initiaux avec ARP (allocation and retention priority) pour faire respecter priorit\u00e9 en cas de congestion.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Au Core (HLR\/HSS \/ UDM\/UDR)<\/strong>\n
\n
- Ajouter attribut \u00ab subscriber_class \u00bb dans profil HLR\/UDM. Les entit\u00e9s de contr\u00f4le de session lisent cet attribut.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Policy Control (PCRF \/ PCF)<\/strong>\n
\n
- R\u00e8gles typiques :\n
\n
- if subscriber_class == CRITICAL then ARP = high, max_bearers = 8<\/li>\n\n\n\n
- if subscriber_class == PREPAID then apply_sms_rate_limit(5\/sim\/min)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- SMSC \/ SMS Firewall<\/strong>\n
\n
- Classes avec exemptions pour CRITICAL (mais journalisation\/alerting accrue).<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- OSS\/BSS \/ Provisioning<\/strong>\n
\n
- Limitation par compte client du nombre de SIM activables sans approbation (ex : >100 requires manual KYC).<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- eSIM management platform (SM-DP\/SM-DS)<\/strong>\n
\n
- Utiliser pour d\u00e9ployer profiles \u00ab secours \u00bb et pour r\u00e9voquer rapidement.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Exemple simple de policy pseudo-code<\/strong><\/p>\n\n\n\n
on SIM_attach(imsi, imei, cell):\ncls = UDM.get_subscriber_class(imsi)\n\u00a0\u00a0\u00a0 if anomaly_detector.is_simfarm(cell, imsi_range(imsi)):\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 if cls == 'CRITICAL' or cls == 'RESCUE':\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 set_pcc_rule(imsi, qci=2, arp=1)\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 # priorit\u00e9 haute<\/strong>\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 else:\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 set_pcc_rule(imsi, qci=9, rate_limit=low)\n\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 move_to_apn_quarantine(imsi)<\/code><\/pre>\n\n\n\nGestion op\u00e9rationnelle (process & gouvernance)<\/h3>\n\n\n\n
\n
- Politique d\u2019\u00e9mission<\/strong>\n
\n
- Qui peut obtenir SIM CRITICAL : listes nominatives, validation multi-parties (MinInt\/MinDef\/Operator).<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Rotation des cl\u00e9s et audits<\/strong>\n
\n
- Rotation p\u00e9riodique des certificats SIM, revues d\u2019audit mensuelles.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Plan de test & exercices<\/strong>\n
\n
- Sc\u00e9narios d\u2019attaque simul\u00e9s, test de basculement prioritaire, test de revocation eSIM.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Journalisation & tra\u00e7abilit\u00e9<\/strong>\n
\n
- Logs immuables des actions (blacklist, promotion\/demotion de classes), conservation selon r\u00e8gles.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Accords inter-op\u00e9rateurs & lois<\/strong>\n
\n
- M\u00e9canisme de reconnaissance des classes en roaming (peut exiger modifications aux SS7\/Diameter interconnects ou accords).<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n
Avantages vs Inconv\u00e9nients (synth\u00e8se)<\/h3>\n\n\n\n
Avantages<\/strong><\/td> Inconv\u00e9nients \/ risques<\/strong><\/td><\/tr> Pr\u00e9serve services critiques en cas d\u2019attaque<\/strong><\/strong><\/td> Complexit\u00e9 d\u2019\u00e9mission + risque d\u2019abus si KYC faible<\/td><\/tr> Permet mitigation plus cibl\u00e9e (pas de blackout massif)<\/strong><\/td> Roaming + neutralit\u00e9 r\u00e9glementaire \u00e0 g\u00e9rer<\/td><\/tr> Compatible eSIM \/ network slicing<\/strong><\/td> Co\u00fbt d\u2019impl\u00e9mentation et op\u00e9rations<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Recommandation de d\u00e9ploiement (roadmap, faisable en phases)<\/h3>\n\n\n\n
\n
- Phase 0 \u2014 \u00e9tude & PoC (1\u20133 mois)<\/strong>\n
\n
- D\u00e9finir classes, PoC sur PCRF\/SMC + SMS firewall, d\u00e9monstration de priorisation sur un slice.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Phase 1 \u2014 s\u00e9curisation du provisioning (3\u20136 mois)<\/strong>\n
\n
- KYC renforc\u00e9, eSIM for critical, IMEI binding, workflow d\u2019\u00e9mission.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Phase 2 \u2014 d\u00e9tection & orchestration (6\u201312 mois)<\/strong>\n
\n
- D\u00e9ploiement ML sur CDR, int\u00e9gration SIEM \u2192 PCRF\/PCF actions automatiques.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
- Phase 3 \u2014 accords & tests (12+ mois)<\/strong>\n
\n