Une cible au cœur de l'enquête

L'ancien député européen Stelios Kouloglou, qui a siégé au sein de la commission spéciale du Parlement européen chargée d'enquêter sur l'utilisation du logiciel espion Pegasus (la commission PEGA), a lui-même été victime de ce même logiciel. C'est ce que révèle une analyse forensique publiée par le Citizen Lab, un laboratoire de recherche en cybersécurité de l'Université de Toronto. Selon les chercheurs, le téléphone iPhone de M. Kouloglou a été compromis à plusieurs reprises par Pegasus à l'automne 2022, alors qu'il menait ses investigations.

« Je ne m'y attendais pas », a déclaré M. Kouloglou, qui fut également journaliste d'investigation avant son mandat au Parlement européen (2015-2024). Après avoir appris la nouvelle, il a d'abord été sous le choc, puis en colère. « Le fait que je sois membre de la commission PEGA, enquêtant sur Pegasus, et qu'en même temps je sois piraté par Pegasus, c'est quelque chose de vraiment trop téméraire », a-t-il confié.

Une attaque à l'encontre du travail parlementaire

Le rapport du Citizen Lab indique qu'il s'agit de la première fois qu'un membre de la commission PEGA est identifié comme ayant été victime de Pegasus pendant qu'il siégeait au sein de ce groupe. Les chercheurs précisent ne pas disposer de preuves concluantes sur l'identité du gouvernement ou de l'entité à l'origine des attaques. Toutefois, ils soulignent que les auteurs auraient potentiellement pu accéder à des informations internes sur les activités et les conclusions de la commission, ce qui risquerait de violer les exigences de confidentialité du Parlement européen et de porter atteinte à la vie privée des personnes.

« C'est une attaque directe contre l'État de droit », a estimé un député européen à propos de ces conclusions. Le chercheur principal du Citizen Lab, John Scott-Railton, insiste sur le caractère emblématique de cet épisode, qui, selon lui, montre à quel point le ciblage par logiciel espion est devenu endémique et effronté au sein de l'Union européenne et au-delà. « C'est la saison ouverte des logiciels espions contre les législateurs européens », a-t-il déclaré. « Le Parlement européen, les parlements nationaux, personne n'est préparé. »

Le contexte de la commission PEGA

La commission PEGA avait été créée en 2022 à la suite des révélations du « Projet Pegasus », un ensemble de recherches et de reportages menés par une quinzaine de médias et d'organisations non gouvernementales à partir d'une vaste fuite de données de la société israélienne NSO Group. Ces documents avaient montré l'ampleur et la diversité des utilisations de Pegasus dans le monde, au moins 180 journalistes figurant parmi les personnes ciblées. NSO Group avait contesté ces conclusions à l'époque.

Pegasus, découvert pour la première fois par le Citizen Lab en 2016, exploite un ensemble évolutif de vulnérabilités des systèmes d'exploitation mobiles pour infecter les appareils iOS et Android. Une fois installé, le logiciel malveillant peut activer les microphones et les caméras, et récupérer les messages, les données de contacts, l'historique de navigation, les photos ou d'autres informations personnelles de la cible.

Des questions sur la protection des élus

Cette révélation soulève des interrogations sur la sécurité des communications des parlementaires européens et sur les moyens dont dispose l'Union pour se prémunir contre de telles intrusions. Alors que les enquêtes sur les abus des logiciels espions se poursuivent, le fait qu'un enquêteur lui-même ait été compromis illustre les défis posés par ces technologies de surveillance. Le rapport du Citizen Lab pourrait avoir des répercussions dans les milieux politiques européens et relancer les débats sur la régulation du marché de la cybersurveillance.