Espionnage visant le Parlement européen : un membre de la commission d’enquête sur Pegasus a aussi été piraté
(citizenlab.ca)- Il a été confirmé que l’iPhone de l’ancien député européen grec Stelios Kouloglou, ex-journaliste d’investigation, a été infecté à plusieurs reprises par Pegasus durant sa période d’activité au sein de la commission PEGA.
- Les compromissions ont eu lieu autour du 21 octobre 2022 et des 6-7 mars 2023, en coïncidant avec une période riche en communications non publiques liées à des auditions, à un projet de rapport et à la préparation de visites dans des pays.
- La première infection est reliée à une consultation de l’adresse e-mail HomeKit
rauharepo888[@]gmail.com, suivie de traces montrant qu’un processus Pegasus a utilisé les données mobiles, ce qui est considéré comme un exploit zero-click PWNYOURHOME. - Aucun gouvernement précis n’est désigné comme responsable, et rien n’indique une implication du gouvernement grec, mais la même adresse e-mail HomeKit a aussi été observée dans une campagne Pegasus visant des journalistes et activistes en exil russophones et biélorussophones.
- Sans examen approfondi des appareils des membres et du personnel du Parlement européen, il est difficile d’évaluer à quel point les échanges confidentiels de la commission PEGA et les procédures parlementaires ont été exposés à un spyware mercenaire.
Infections Pegasus confirmées pendant les activités de la commission PEGA
- Stelios Kouloglou est un homme politique grec issu du journalisme d’investigation, entré au Parlement européen en 2015.
- Du 24 mars 2022 au 18 juillet 2023, il a siégé comme membre suppléant de la commission PEGA du Parlement européen, chargée d’enquêter sur l’usage de Pegasus et de spyware de surveillance similaires.
- La commission PEGA a été créée le 10 mars 2022, à la suite du Pegasus Project en 2021 et d’autres révélations selon lesquelles des gouvernements européens auraient surveillé des journalistes, activistes, responsables politiques et citoyens.
- La mission de la commission consistait à enquêter sur l’ampleur de l’usage de spyware en violation du droit de l’UE, l’objet de l’enquête étant « Pegasus and equivalent surveillance spyware ».
Résultats de l’analyse forensique de l’iPhone
- En mai 2026, Kouloglou a contacté Citizen Lab, et une analyse forensique des artefacts de l’iPhone a confirmé une infection par Pegasus.
- Les moments d’infection établis avec un haut niveau de confiance sont autour du 21 octobre 2022 ainsi que les 6-7 mars 2023.
-
Infection du 21 octobre 2022
- À 10 h 16, une consultation de l’adresse e-mail HomeKit
rauharepo888[@]gmail.coma été observée, et deux minutes plus tard un processus Pegasus a utilisé les données mobiles. - Cette infection est considérée comme un piratage via l’exploit zero-click PWNYOURHOME.
- PWNYOURHOME semble fonctionner par l’envoi à HomeKit d’une archive NSKeyedArchive spécialement conçue, puis l’acheminement du contenu malveillant vers MessagesBlastDoorService.
- Apple a atténué un problème lié à HomeKit dans iOS 16.3.1, et le problème touchant MessagesBlastDoorService aurait été corrigé plus tôt, probablement dans iOS 16.1.
- À 10 h 16, une consultation de l’adresse e-mail HomeKit
-
Infection des 6-7 mars 2023
- Une activité Pegasus a aussi été détectée entre le 6 mars 2023 à 09 h 49 et le 7 mars à 07 h 30, potentiellement liée au même exploit.
- Lors des infections de 2022 et 2023, l’appareil exécutait vraisemblablement iOS 15.5 (19F77).
- En raison des limites des données forensiques disponibles, on ne peut exclure d’autres infections non détectées.
Alertes de menace Apple et difficulté de prise de conscience par l’utilisateur
- L’analyse forensique indique que Kouloglou a reçu à trois reprises des alertes Apple signalant un ciblage par spyware mercenaire.
- 2 mars 2023
- 29 août 2023
- 10 avril 2024
- Les alertes de menace d’Apple et d’autres entreprises ne sont pas des alertes en temps réel ; elles sont souvent envoyées par lots plusieurs mois après le ciblage.
- Kouloglou a déclaré ne pas se souvenir avoir reçu les alertes Apple observées.
- Même les personnes qui reçoivent plusieurs alertes de menace peuvent en pratique ne pas les remarquer.
Première infection : en plein projet de rapport, auditions et préparation de visites dans des pays
- La date de la première infection, le 21 octobre 2022, coïncide avec une période particulièrement active dans les délibérations et l’enquête de la commission PEGA.
- Juste après l’infection, les auditions suivantes étaient prévues :
- « Big Tech and Spyware » — 26 octobre 2022
- « Spyware and e-privacy » — 26 octobre 2022
- audition sur le spyware et les droits fondamentaux — 27 octobre 2022
- La commission préparait aussi la publication d’un premier projet de rapport, qui circulait déjà et était discuté entre les membres et leurs assistants.
- Kouloglou a confirmé que le jour de la première infection coïncidait avec une période d’échanges intensifs par SMS et e-mail.
- Le premier projet de rapport de la commission PEGA a été présenté le 8 novembre 2022 par la députée Sophie in ’t Veld.
- Le projet abordait les soupçons liés aux spyware en Pologne, Hongrie, Grèce, Chypre et Espagne.
- La commission PEGA préparait aussi une visite en Grèce et à Chypre du 1er au 4 novembre 2022, à laquelle Kouloglou participait.
- L’appareil a été piraté dix jours avant le début de cette visite, alors que des échanges sur son organisation étaient en cours.
Infection à l’hôpital et possible exposition d’informations médicales
- Le jour de l’infection du 21 octobre 2022, Kouloglou était hospitalisé en Grèce pour une intervention chirurgicale programmée.
- Le journaliste d’investigation grec Thanasis Koukakis lui a rendu visite dans sa chambre.
- Koukakis suit de près l’affaire des spyware mercenaires en Grèce.
- Il avait témoigné devant la commission PEGA le mois précédent.
- En mars 2022, Citizen Lab avait confirmé que Koukakis avait été ciblé par le spyware Predator d’Intellexa.
- Comme l’infection s’est produite pendant l’hospitalisation, des informations de santé — conversations dans la chambre, échanges avec le personnel soignant, rendez-vous, résultats d’examens ou diagnostic — ont pu être interceptées depuis l’appareil.
- En droit grec, les données de santé relèvent d’une catégorie particulière de données personnelles bénéficiant d’une protection renforcée, et ce piratage pourrait relever, au regard du droit pénal grec, de la protection du secret des informations médicales prévue par la loi 4624/2019.
Deuxième infection : en parallèle des discussions sur le rapport final
- La deuxième infection s’est produite les 6-7 mars 2023.
- Selon Kouloglou, la commission PEGA menait alors des discussions intensives sur la rédaction du projet final.
- Kouloglou a voyagé d’Athènes à Bruxelles le 6 mars 2023, et se trouvait à Bruxelles pendant la période d’infection des 6-7 mars.
- Au même moment, la rapporteure de la commission PEGA, Sophie in ’t Veld, se trouvait en Grèce dans le cadre d’une mission de la commission LIBE.
- La commission LIBE est la commission permanente du Parlement européen chargée de la législation et du contrôle démocratique en matière de droits humains, protection des données, asile, immigration et non-discrimination.
- Lors de cette mission, la délégation LIBE a interrogé le directeur et des responsables de l’autorité grecque de transparence, la National Transparency Authority, au sujet du scandale des spyware en Grèce.
- Après cette deuxième infection, des auditions PEGA et une visite d’enquête en Espagne ont encore eu lieu, mais Kouloglou n’a pas participé à la visite en Espagne.
- Cette infection est survenue environ deux mois avant l’adoption du premier rapport de la commission PEGA, le 8 mai 2023.
- Kouloglou et Thanasis Koukakis avaient envisagé de se voir via WhatsApp autour des 6-7 mars 2023, mais la rencontre n’a finalement pas eu lieu.
Cas de spyware visant des députés européens
- Kouloglou est le premier membre de la commission PEGA publiquement confirmé comme victime de Pegasus pendant son mandat au sein de la commission.
- Avant même la création de la commission PEGA, des cas publics visant des eurodéputés existaient déjà.
- L’appareil de l’eurodéputée catalane Diana Riba a été infecté en octobre 2019.
- L’eurodéputé catalan Jordi Solé a été ciblé en juin 2020, juste avant de prendre son siège au Parlement européen.
- Clara Ponsati et Carles Puigdemont ont été ciblés via des assistants ou des membres de leur famille.
- Riba, Solé et Puigdemont ont ensuite participé à la commission PEGA et y ont témoigné de leur expérience.
- En dehors de la commission PEGA, les cas visant le Parlement européen se sont poursuivis.
- En février 2024, Politico a rapporté que des députés de la sous-commission sécurité et défense avaient été invités à faire examiner leurs téléphones après la découverte de traces de spyware sur deux appareils.
- L’eurodéputée française Nathalie Loiseau a confirmé avoir été ciblée par Pegasus.
- Les services informatiques du Parlement européen ont informé l’eurodéputée bulgare Elena Yoncheva qu’un ciblage de son appareil avait eu lieu fin octobre 2023.
- En mai 2024, l’eurodéputé allemand Daniel Freund a annoncé avoir été ciblé par un spyware mercenaire de Candiru.
Attribution et limites restantes
- La conclusion selon laquelle l’appareil de Kouloglou a été ciblé et infecté par le spyware mercenaire Pegasus de NSO Group est établie avec un haut niveau de confiance.
- Aucun client précis de NSO Group n’est désigné comme responsable.
- Rien n’indique que le gouvernement grec soit à l’origine de ce piratage.
- Aucun élément ne signale que la Grèce ait été cliente de NSO Group ou utilisatrice de Pegasus.
- Le gouvernement grec est en revanche connu pour avoir largement abusé du spyware mercenaire Predator d’Intellexa, mais il n’existe aucun indicateur technique montrant que ses services de sécurité ou de renseignement aient eu accès à Pegasus.
- Il existe un lien entre le ciblage de Kouloglou en 2022 et le ciblage décrit dans le rapport conjoint d’Access Now de mai 2024.
- Ce rapport indique que sept journalistes indépendants et activistes d’opposition russophones et biélorussophones basés en Europe ont été ciblés ou infectés par Pegasus.
- L’un des Apple ID anonymisés du rapport,
rauharepo888[@]gmail.com, est identique à l’adresse e-mail HomeKit utilisée contre Kouloglou. - D’après la compréhension actuelle de l’infrastructure d’infection de Pegasus sur cette période, ce type d’adresse e-mail est considéré comme propre à un opérateur donné.
- Il n’est pas possible de déterminer si la deuxième infection de 2023 est liée au même opérateur ou à un autre.
- Les infections semblent avoir existé dans au moins deux juridictions européennes, la Grèce et la Belgique.
- Au regard des connaissances existantes sur les licences NSO Group, cela suggère qu’un client disposait probablement d’une licence autorisant des infections dans plusieurs juridictions de l’UE.
Impact sur les procédures démocratiques et la confidentialité parlementaire
- L’infection de l’appareil d’un membre de la commission PEGA signifie que des échanges strictement confidentiels liés aux travaux de la commission et des procédures parlementaires sensibles ont pu être exposés.
- Cela pourrait inclure les communications entre les membres de la commission PEGA et leurs assistants, ainsi que des procédures sensibles impliquant des parties faisant l’objet de l’enquête de la commission.
- Comme l’état des appareils des autres membres et assistants de la commission PEGA est inconnu, il n’existe aucun moyen de savoir si des infections similaires ont eu lieu sans examen approfondi.
- Cette affaire met en lumière la menace que les spyware mercenaires font peser sur l’intégrité des processus démocratiques.
- Ce n’est pas la première fois que des appareils d’eurodéputés sont ciblés ou piratés par des spyware mercenaires, ce qui montre le caractère corrosif du piratage mercenaire non régulé.
Recommandations
- Les institutions de l’UE doivent lancer immédiatement une enquête pour établir l’ampleur et la portée des atteintes aux données personnelles et aux procédures de l’UE.
-
Eurodéputés et assistants
- Les eurodéputés et assistants ayant participé à la commission PEGA doivent immédiatement faire réaliser un examen forensique d’infection par spyware et préserver les appareils professionnels et personnels susceptibles d’avoir été ciblés.
- La Direction générale des technologies de l’information et de la cybersécurité (DG ITEC) propose des contrôles de spyware.
- Il faut prêter attention aux alertes d’attaques soutenues par un État et, en cas d’alerte, obtenir rapidement l’aide de spécialistes.
- Les eurodéputés doivent activer le mode Isolement sur iPhone et Advanced Protection sur Android.
- Ces modes renforcent fortement la protection des appareils contre les spyware mercenaires.
- La DG ITEC peut fournir des consignes de cybersécurité supplémentaires.
-
Parlement européen et institutions de l’UE
- Le Parlement européen doit enquêter immédiatement sur les attaques par spyware visant des eurodéputés et les procédures parlementaires.
- Comme il s’agit d’attaques anciennes, une enquête rapide est nécessaire pour éviter la perte de traces forensiques.
- Le Parlement doit commander un rapport annuel sur les menaces cyber et de surveillance visant l’institution et les eurodéputés.
- Celui-ci pourrait être rédigé par le Service de recherche du Parlement européen ou par une autre entité.
- La DG ITEC doit élaborer un plan pour augmenter fortement le taux d’examen des appareils et publier des statistiques annuelles sur le nombre d’appareils examinés et le taux de détection.
- La DG ITEC doit diffuser régulièrement aux eurodéputés et à leurs assistants des consignes précises concernant les alertes d’attaques soutenues par un État émises par des entreprises comme Apple ou Google.
- La Commission européenne doit mener sa propre enquête et ses propres examens pour vérifier si des commissaires ou des agents ont été ciblés par des spyware mercenaires.
- La DG DIGIT de la Commission doit mettre en place, en plus d’examens réguliers, une capacité complète de détection et de réponse face aux spyware.
-
PACE, parlements nationaux et entreprises technologiques
- L’Assemblée parlementaire du Conseil de l’Europe (PACE) doit, compte tenu de ses travaux passés sur les abus de spyware mercenaires en Europe, enquêter pour déterminer si ses membres et agents ont été ciblés.
- La Direction des technologies de l’information du Conseil doit se coordonner avec les institutions homologues et rechercher régulièrement des signes de ciblage par spyware mercenaires chez les membres et agents de la PACE.
- Les services de sécurité et organes de contrôle des parlements nationaux doivent s’inspirer des méthodes d’examen des appareils des parlementaires mises en place par la DG ITEC pour mieux protéger les élus.
- Les entreprises technologiques doivent améliorer la manière dont elles présentent les alertes, y compris via des recherches UX, afin que les destinataires les voient réellement, les comprennent et puissent agir.
1 commentaires
Avis de Hacker News
En mai 2026, Kouloglou a contacté Citizen Lab, et l’analyse forensique des traces trouvées sur son iPhone a permis d’établir avec un haut degré de certitude que des infections par le logiciel espion Pegasus avaient réussi autour du 21 octobre 2022, puis les 6 et 7 mars 2023.
Kouloglou dit ne pas se souvenir d’avoir reçu une alerte Apple confirmée par Citizen Lab ; je me demande s’il faut comprendre qu’Apple l’avait bien prévenu qu’il était surveillé, mais qu’il l’a ignoré.
C’est choquant que les alertes de menace d’Apple et d’autres entreprises ne soient pas en temps réel, et qu’elles soient généralement envoyées groupées plusieurs mois ou plus après une attaque ciblée.
Si cela signifie qu’Apple peut détecter la menace, mais ne la supprime ni ne la bloque, et attend tranquillement pendant des mois avant d’en informer l’utilisateur, je ne sais pas comment appeler ça autrement que du théâtre sécuritaire.
Il est intéressant de noter que la première infection recoupe une campagne Pegasus existante visant des journalistes et militants russophones et biélorussophones en exil en Europe.
La question est de savoir quel client de Pegasus dispose du « droit de surveiller » dans plusieurs pays européens.
Un ancien article [0] sur l’affaire des exilés russes mentionnée indique que les Pays-Bas et l’Estonie ont utilisé Pegasus en dehors de leurs frontières, mais d’autres acteurs pourraient disposer de ce type de licence.
Si l’affaire des exilés russes et celle de Kouloglou sont reliées par le même mode opératoire, un pays comme l’Estonie paraît plus plausible. Cela dit, il est toujours possible qu’une agence ayant accès à Pegasus ait coopéré avec une agence non autorisée, ou l’ait utilisé pour son compte.
[0] https://www.accessnow.org/publication/hacking-meduza-pegasus...
J’ai l’impression que le problème vient de choix d’architecture logicielle comme les gros kernels monolithiques, les services de télémétrie et de marketing inutiles, les API legacy, les langages non sûrs comme le C, ou le manque d’analyse statique.
Les téléphones doivent déjà être traités comme des terrains contaminés, et il ne faut rien y mettre d’important.
Certains dirigeants n’utilisent tout simplement pas de smartphone, ce qui les protège des logiciels espions électroniques.
Certains services comme des banques, des messageries, des applis de rencontre ou Uber ne fonctionnent que sur mobile.
À cette époque, beaucoup de téléphones de responsables politiques grecs ont été piratés avec Pegasus.
En Grèce, c’est un scandale qui n’est toujours pas complètement résolu, et tous les éléments indiquent une opération menée par le cabinet du Premier ministre en coordination avec les services de renseignement locaux.
Je pense donc qu’il est difficile de qualifier cela d’attaque contre le Parlement européen.
https://notesfrompoland.com/2026/02/26/poland-charges-former...
Quand on a un marteau, tout ressemble à un clou.
Ce qui est intéressant, c’est que cela laisse entendre que des informations médicales personnelles confidentielles et des documents gouvernementaux confidentiels ont tous deux pu fuiter via le même téléphone.
Le Parlement européen n’a-t-il pas de politique de séparation entre appareils professionnels et personnels ?
Vu à quel point le temps de travail et le temps personnel se brouillent souvent, ça se comprend.
Les informations médicales n’étaient pas stockées dans le téléphone.
Des députés européens catalans ont aussi été ciblés par Pegasus ; je ne me souviens plus des détails, mais à l’époque les seuls clients étaient des États, donc l’Espagne avait bien loué le service.
Il ne s’est rien passé.
Je suppose qu’on va bientôt bricoler en urgence une loi pour imposer quelque chose à quelqu’un, ou infliger une grosse amende à quelqu’un, histoire de régler ça rapidement.
Quelqu’un doit être tenu responsable.
Le Lockdown Mode d’iOS pourrait-il empêcher ça ?
Cela dit, pour réduire la surface d’attaque, le smartphone est volontairement transformé en téléphone très rudimentaire.
Les cas d’usage pratiques se limitent à peu près à un terminal simple permettant d’envoyer et recevoir des SMS, de passer des appels sur le réseau téléphonique classique et de consulter l’heure.
Pour le contexte, certains pays européens ont tellement abusé de logiciels espions comme Pegasus que des entreprises israéliennes ont fini par couper les liens avec eux ; le cas italien ci-dessous en fait partie.
D’autres ont aussi mentionné la Grèce et la Pologne.
Il est risible qu’un député européen se retrouve dans la même catégorie de surveillance que des journalistes, militants, et peut-être de simples citoyens innocents.
Et cela de la part d’États membres de l’UE, tout en contribuant directement au développement et à la diffusion des malwares d’entreprises israéliennes.
https://www.bbc.com/news/articles/cvgmzdjw24yo
Je m’attends à ce que les mêmes personnes continuent à avoir accès au produit via d’autres revendeurs en aval.