Le 3 juillet 2026, le Citizen Lab de l’Université de Toronto publiait un rapport. En le refermant, quatre mots me sont venus à l’esprit : le comble de l’ironie.
Le protagoniste s’appelle Stelios Kouloglou, ancien député européen grec. Entre 2022 et 2023, il siégeait à la commission PEGA du Parlement européen — de son nom complet, « Commission d’enquête sur l’utilisation de Pegasus et de logiciels espions de surveillance équivalents ». En clair, son travail quotidien consistait à enquêter sur qui utilise Pegasus, et d’autres logiciels espions, pour surveiller illégalement autrui.
Et c’est pendant cette enquête que son propre téléphone a été infecté par Pegasus. Pas une fois. Deux fois.
Le chasseur est devenu la proie.

▲ Stelios Kouloglou, journaliste grec et député européen. Source : Citizen Lab
I. Allongé sur un lit d’hôpital, son téléphone en train d’être piraté
Revenons au 21 octobre 2022. Ce jour-là, Kouloglou se trouve dans un hôpital d’Athènes pour une intervention chirurgicale programmée. Il n’est pas en train de travailler, ni en réunion, ni même en train de consulter son téléphone — il est alité, tout simplement.
Un journaliste d’investigation grec, Thanasis Koukakis, vient lui rendre visite. Ce journaliste est lui-même une victime des logiciels espions : début 2022, on a découvert que son téléphone avait été infecté par un autre outil, Predator. Les deux hommes discutent longuement dans la chambre — des avancées de l’enquête, du programme de travail de la commission PEGA. Koukakis prend une photo en souvenir.
C’est ce jour-là, à l’instant même où cette photo est prise, que le téléphone de Kouloglou est infecté avec succès par le logiciel espion Pegasus.

▲ 21 octobre 2022. Le journaliste grec Koukakis rend visite à Kouloglou dans sa chambre d’hôpital. Au même moment, le téléphone de Kouloglou est en train d’être piraté par Pegasus. Source : Citizen Lab / Thanasis Koukakis
Cette photo me procure un profond malaise. Les deux hommes sont en train de parler des moyens de lutter contre les logiciels espions. Et à leur insu, un téléphone dans la pièce est en train d’aspirer chaque information — conversations, SMS, contacts, calendrier — et de les transmettre vers un « client », quelque part derrière un écran.
C’est toute l’horreur de ces logiciels espions de qualité militaire : vous ignorez totalement que vous êtes infecté. Votre téléphone fonctionne normalement. Pas de message bizarre, pas de pop-up, pas de ralentissement. Mais chacun de vos appels, chaque photo, chaque message est en train d’être lu à distance.
II. L’attaque « zéro clic » : vous n’avez rien à faire pour que votre téléphone tombe
On peut se demander : comment Pegasus entre-t-il dans un téléphone ? Ne faut-il pas cliquer sur un lien, télécharger un fichier, ou au moins répondre à un appel suspect ?
La réponse : rien de tout cela.
Pour l’expliquer le plus simplement possible, imaginez votre téléphone comme une maison. Une attaque virale classique, c’est quelqu’un qui frappe à la porte, vous ment pour que vous ouvriez, puis s’engouffre à l’intérieur. Pegasus, lui, procède tout autrement : il n’a même pas besoin de frapper. Il exploite un défaut dans la structure même de la « maison » — disons, une fissure dans un mur dont vous ignoriez l’existence. L’attaquant glisse quelque chose dans cette fissure, et depuis l’intérieur, il prend le contrôle de toute la maison.
Dans le jargon de la cybersécurité, cela s’appelle une « attaque zero-click » (zéro clic). Vous n’avez rien à cliquer, aucune opération à effectuer, vous n’avez même pas besoin de déverrouiller votre téléphone pour que l’attaque aboutisse.
Dans le cas de Kouloglou, la faille utilisée s’appelle « PWNYOURHOME ». Elle exploite une vulnérabilité de la fonction « Maison » (HomeKit) des iPhone. L’attaquant n’a qu’à enregistrer HomeKit avec une adresse e-mail spécialement forgée pour déclencher une erreur interne au système et, de là, obtenir le contrôle du téléphone.
Pendant toute l’opération, Kouloglou n’a reçu aucune notification, n’a rien vu d’anormal. Ce n’est que plusieurs mois plus tard qu’Apple a corrigé cette faille avec iOS 16.3.1. Au moment de l’infection, le téléphone de Kouloglou tournait sous iOS 15.5 — aux yeux de l’attaquant, la porte était grande ouverte.
Plus glaçant encore : la seconde infection. Elle a eu lieu les 6 et 7 mars 2023. Kouloglou s’était alors rendu d’Athènes à Bruxelles pour une session intensive de la commission PEGA. La commission finalisait son rapport — un document déterminant pour établir quels gouvernements ont abusé de ces logiciels espions, et quelles responsabilités ils encourent. Si les discussions autour des ébauches du rapport, les positions des autres commissaires, voire les stratégies de vote ont été interceptées durant cette période, les conséquences sont faciles à imaginer.
Apple a par la suite adressé trois avertissements de sécurité à Kouloglou — le 2 mars 2023, le 29 août 2023 et le 10 avril 2024. Mais Kouloglou affirme n’avoir aucun souvenir de ces notifications. Rien de surprenant : ces « notifications de menace » d’Apple sont envoyées de manière discrète, faciles à ignorer ou à confondre avec un courrier indésirable.
III. Qui vend ces « armes numériques » ? Un business à plusieurs milliards de dollars
Il faut ici parler de l’entreprise derrière Pegasus : NSO Group.
Société israélienne fondée en 2010, elle vend ce que le secteur appelle des « armes cyber ». Son modèle économique est simple : vente exclusive aux gouvernements, jamais aux particuliers ni aux entreprises. Déployer un système Pegasus coûterait, selon les estimations, entre plusieurs millions et plusieurs dizaines de millions de dollars.
La version officielle de NSO : Pegasus est un « outil de lutte contre le crime et le terrorisme ». L’argument, de prime abord, s’entend — la police utilise des techniques de surveillance pour traquer les criminels, quoi de plus normal ? Le problème, c’est qu’une fois le produit vendu, NSO ne contrôle plus ce que le client en fait. Et la liste des « clients » comprend des États dont le bilan en matière de droits humains n’est guère reluisant.
Depuis 2021, un consortium de 17 médias internationaux baptisé « Projet Pegasus » (Pegasus Project) a révélé une multitude de cas d’abus : journalistes, avocats, opposants politiques, militants des droits humains, et jusqu’à des chefs d’État figuraient sur les listes de cibles. À chaque révélation, NSO répond : « nous allons enquêter », « nous ignorions que le client en faisait cet usage ». Mais les cas continuent de s’accumuler.
J’ai consulté les décisions de justice pertinentes. En mai 2025, un tribunal californien a condamné NSO Group à verser 168 millions de dollars à Meta (la maison mère de WhatsApp), au motif que NSO avait exploité une faille de WhatsApp pour aider ses clients à surveiller illégalement 1 400 téléphones dans le monde. C’est la plus lourde amende jamais infligée à l’industrie du logiciel espion.
Mais ce qui m’inquiète le plus, c’est que cette condamnation n’a pas mis fin aux activités de NSO. Selon le média spécialisé TechSpot, l’entreprise s’est restructurée en novembre 2025 sous une nouvelle direction, et continue de chercher des acheteurs.
Autrement dit, le business continue.
IV. Le Parlement européen n’en est pas à sa première « visite », ni à sa dernière
Kouloglou n’est pas le seul eurodéputé dans le viseur de Pegasus.
Avant même la création de la commission PEGA, quatre députés européens catalans avaient déjà été infectés — parmi eux Diana Riba, future vice-présidente de la commission, et Carles Puigdemont, ancien président de la Catalogne. Ces élus étaient à la fois membres de la commission d’enquête et victimes de l’outil qu’ils étaient censés investiguer. Cette situation absurde parle d’elle-même.
En février 2024, des traces de logiciels espions ont été détectées sur les téléphones de deux membres de la sous-commission Sécurité et Défense du Parlement européen. En mai de la même année, le député allemand Daniel Freund confirmait avoir été infecté par un autre logiciel espion, Candiru.
En clair, le Parlement européen — cette institution qui se veut la « forteresse de la démocratie européenne » — est infiltré de toutes parts par les logiciels espions.
Je relève un détail crucial : Citizen Lab précise qu’aucun élément ne permet d’attribuer cette intrusion au gouvernement grec. Les preuves désignent plutôt le même « opérateur » lié aux affaires de piratage de journalistes en exil russes et biélorusses — un client « autorisé » à utiliser Pegasus dans plusieurs pays européens. Autrement dit, il s’agit probablement d’une opération de surveillance transfrontalière.
V. Pourquoi est-ce important ? Parce que les règles sont piétinées
Revenons à la formule : le chasseur est devenu la proie. Ce n’est pas qu’un titre accrocheur. Cela pointe un problème plus profond.
Quand la personne chargée de surveiller les abus des logiciels espions peut elle-même être infectée à volonté, cela signifie que cette technologie de surveillance n’est plus soumise à la moindre règle.
La commission PEGA existe pour tracer des lignes rouges : dans quelles conditions peut-on utiliser ces outils ? Qui peut les autoriser ? Quels sont les droits des personnes surveillées ? Mais quand les téléphones de ses propres membres sont compromis, quand ses discussions confidentielles risquent d’être sur écoute, « tracer des lignes rouges » devient extrêmement difficile — parce que l’entité même que l’on cherche à encadrer sait déjà comment on compte l’encadrer.
C’est comme un examen dont le correcteur découvrirait que le candidat a lu le sujet avant l’épreuve. L’examen a-t-il encore un sens ?
Dans sa conclusion, Citizen Lab formule une recommandation à la fois poignante et réaliste : ils appellent tous les membres et collaborateurs de la commission PEGA à faire contrôler sans délai leurs téléphones. Car « en l’absence d’un dépistage systématique, impossible de savoir si d’autres membres de la commission ou leurs équipes ont subi des intrusions similaires. »
Quatre ans après les faits, nul ne sait combien de téléphones restent « tombés ».
VI. Que retenir pour le commun des mortels ?
Franchement, face à une attaque du calibre de Pegasus, le citoyen ordinaire ne peut quasiment rien faire. Ce n’est pas le genre de menace qu’un antivirus grand public peut contrer. Les failles exploitées sont souvent inconnues du fabricant lui-même (dans le milieu, on les appelle des « zero-day »).
Mais quelques points méritent d’être connus de tous.
Premièrement, prendre conscience que cette menace existe. Ce n’est pas un scénario hollywoodien. Les logiciels espions de qualité militaire sont déployés à grande échelle dans le monde entier, et leurs cibles se sont élargies bien au-delà des terroristes : journalistes, avocats, responsables politiques, militants — et, désormais, ceux qui enquêtent sur ces logiciels.
Deuxièmement, prêter attention aux alertes de sécurité des fabricants. Apple et Google envoient des « notifications de menace » aux utilisateurs susceptibles d’être ciblés par des attaques de niveau étatique. Si vous en recevez une, ne l’ignorez pas. Cela peut signifier que votre téléphone est déjà dans le collimateur.
Troisièmement, si vous exercez une activité sensible, activez le « mode isolement » (Lockdown Mode sur iOS, ou Advanced Protection sur Android). Cela limite de nombreuses fonctions — par exemple, certaines pièces jointes ne se chargent pas automatiquement quand un inconnu vous écrit sur iMessage — mais cela complique considérablement la tâche des logiciels espions.
Épilogue
En terminant cet article, j’ai regardé une nouvelle fois la photo de la chambre d’hôpital. Sur cette image, un député qui enquête sur les logiciels espions, et un journaliste qui en a été victime. Ils parlent des moyens de résister à la surveillance. Et entre eux, un téléphone est en train d’être infecté par ce même logiciel de surveillance.
Cette image est, en elle-même, une métaphore de notre époque.
Le rapport de Citizen Lab recommande aux institutions européennes et aux parlements nationaux de procéder à un dépistage systématique. Mais à mes yeux, il y a plus urgent qu’un dépistage : il faut que quelqu’un réponde à cette question. Qui surveille ceux qui surveillent ?
Liens de référence :
- https://citizenlab.ca/research/member-of-committee-investigating-spyware-hacked-with-pegasus/
- https://news.ycombinator.com/item?id=48779683
- https://www.wired.com/story/eu-politicians-investigated-pegasus-spyware-then-it-ended-up-on-one-of-their-phones/
- https://www.theguardian.com/world/2026/jul/03/spyware-used-against-mep-investigating-pegasus-abuses-report-finds