Les enquêteurs de Pegasus ont obtenu Pegasus

22

Stelios Kouloglou connaissait le jeu. Il était député européen et faisait partie du groupe de travail spécial de l’UE chargé de traquer les logiciels espions. Au cours de l’été 2022, il a parcouru le continent, s’asseyant avec des victimes de la surveillance numérique, revenant sur un scandale impliquant à la fois des journalistes, des chefs de police et des hommes politiques. Il pensait qu’il tenait la loupe. Il ne savait pas que l’objectif se tournait vers lui.

Ensuite, les données sont sorties. Son iPhone a été compromis. Par Pégase. Le même outil pour lequel il a été engagé.

“C’était vraiment quelque chose de trop imprudent”, dit-il.

C’est une sombre blague. Un enquêteur piraté par le crime sur lequel il enquête. Kouloglou a passé des années à creuser cette affaire avant de rejoindre le Parlement, il n’était donc pas naïf face aux menaces. Toujours. Le choc est différent lorsque c’est votre propre téléphone qui sonne avec des logiciels malveillants. Maintenant, il est en colère. À juste titre.

Voici le contexte que vous connaissez probablement mais que vous devez réentendre. Pegasus n’est pas seulement une application que vous téléchargez par accident. Il exploite les failles d’iOS et d’Android pour contourner les défenses. Une fois à l’intérieur ? La caméra tourne. Le micro reste ouvert. Messages, photos, listes de contacts, tout va à celui qui a payé. Développé par NSO Group, une société israélienne qui a récemment vu la majorité de ses actions rachetées par des investisseurs américains en 2025, le logiciel espion est vendu aux gouvernements. Théoriquement pour attraper des terroristes. En pratique? Souvent utilisé contre les journalistes, les militants et les politiciens ennuyeux.

Le Citizen Lab de l’Université de Toronto a publié le rapport médico-légal vendredi dernier. Le moment ne pourrait pas être pire. Ou mieux, selon si vous aimez le drame. Le téléphone de Kouloglou n’a pas été visé une seule fois. Mais plusieurs fois. D’abord le 21 octobre 2202, alors qu’il était à l’hôpital en convalescence après une opération chirurgicale élective. Imaginer. Allongé là. Vulnérable. Puis un journaliste d’investigation grec, Thanasis Koukakis, qui avait lui-même été piraté par un autre logiciel espion appelé Predator, lui rend visite. Ils parlent. Peut-être à propos du comité. Peut-être à propos de l’affaire.

Puis silence. Jusqu’en mars 2023. La commission se préparait pour des auditions clés. Ils étaient sur le point d’interroger les vendeurs de logiciels espions. C’est alors que Pegasus frappe à nouveau. Les 6 et 7 mars. Coïncidence? À vous de me dire.

L’ironie est étouffante.

Hannah Neumann, une autre députée européenne de la commission qui est de tendance verte et qui n’est absolument pas subtile à ce sujet, a qualifié cela d’absurde. Les attaquants ne se contentaient pas de surveiller l’homme. Ils regardaient l’enquête.

“Nous avons espionné l’enquête d’espionnage”, a déclaré Neumann à WIRED. C’est comme ça que ça s’est passé.

Les chercheurs du Citizen Lab ont approfondi la question. Ils ne pouvaient pas identifier qui avait ordonné ces coups. Pas d’arme fumante pointant vers une agence gouvernementale spécifique. Cette fois-ci, ils ont explicitement exclu le gouvernement grec, ce qui est important car la Grèce était au milieu de son propre désordre de logiciels espions de type “Watergate”, impliquant le logiciel Predator d’Intellexa, à peu près au même moment. Mais les empreintes correspondent. Les vecteurs d’attaque se sont superposés à des tentatives contre sept journalistes russophones et biélorusses entre fin 2020 et début 2023. C’est une tendance. C’est toujours un modèle.

John Scott-Railton de Citizen Lab le dit sans détour.

“C’est la saison ouverte des logiciels espions contre les législateurs européens.”

Personne n’est préparé. Des parlements nationaux ? Sans défense. L’UE ? Dormir.

Kouloglou admet qu’il a probablement vu les avertissements “Lockdown” d’Apple, les alertes qui disent “hé, quelqu’un pourrait vous pirater”. Il les reçut en mars et août 2303. De nouveau en avril 2404. Mais les notifications arrivent tardivement. Au moment où la lettre arrive, le cambriolage est terminé. De toute façon, il ne se souvient pas de les avoir vus. Qui regarde son écran à la recherche d’erreurs alors qu’il est occupé à sauver la démocratie ?

Ce qui dérange le plus, c’est que rien n’a changé. La commission PEGA a terminé ses travaux. Il a remis un cahier de revendications. Construire un laboratoire technologique européen pour l’analyse médico-légale. Créez un groupe de travail sur les logiciels espions pour les élections. Sécurisez les canaux. Les années ont passé. La poussière est retombée. Et puis bam. Un membre du comité s’enracine.

L’Europe a ignoré le problème jusqu’à ce que le problème morde la main qui la nourrissait.

Le porte-parole du Parlement européen n’a pas donné de détails sur WIRED mais a souligné certains « systèmes de sélection » pour les députés européens. Mesures. Extensions de protection. Cela ressemble à un jargon technique pour « nous essayons ». Mais essayez plus fort. Les recommandations s’accumulent dans un moule numérique.

Scott-Railton qualifie la situation d’embarras. Et il n’a pas tort. D’autres nations ont déménagé. Les États-Unis ont sanctionné les vendeurs, interdit les visas et utilisé des décrets pour paralyser le marché des logiciels espions. L’Europe ne fait que débattre. Pendant ce temps, l’IA rend cela moins cher. Plus facile. Plus rapide. La barrière à l’entrée disparaît.

Kouloglou considère cette violation comme une violation de sa vie personnelle. Messages avec les enfants. Avec des proches. Pas seulement pour le travail. Vie.

“Ce n’est pas seulement une question de vie privée. C’est une question de justice. De démocratie.”

Il veut des comptes. Mais la responsabilité nécessite des actions. Jusqu’à présent, le silence est plus fort que les alarmes des logiciels espions.