Les chercheurs de Citizen Lab ont confirmé qu’un député européen siégeant à la commission d’enquête sur les logiciels espions a été lui-même piraté à l’aide de Pegasus, le spyware de NSO Group. Stelios Kouloglou, journaliste grec et ancien député européen, a été infecté à trois reprises en 2022 et 2023.
Stelios Kouloglou siégeait à la commission PEGA du Parlement européen, chargée d’enquêter sur les abus des logiciels espions par les gouvernements européens. Selon le rapport de Citizen Lab publié vendredi 3 juillet 2026, son téléphone a été compromis en octobre 2022, puis à deux reprises en mars 2023, par le même opérateur utilisant Pegasus.
L’exploit utilisé était une vulnérabilité « zero-click » dans le logiciel domotique d’Apple. Elle permettait au spyware d’accéder aux messages texte, aux données de localisation et aux photos du téléphone de Kouloglou sans aucune interaction de sa part. La faille de sécurité avait été corrigée par Apple mais la mise à jour n’était pas installée sur l’appareil ciblé.
Les chercheurs de l’université de Toronto n’ont pas attribué le piratage à un pays spécifique. Ils indiquent toutefois que l’adresse email utilisée pour l’envoi de Pegasus était la même que celle employée lors d’une campagne précédente ayant ciblé des journalistes dans plusieurs pays européens. L’identité du client gouvernemental n’est pas connue, mais la réutilisation de la même adresse suggère que NSO Group lui avait accordé l’autorisation d’utiliser Pegasus.
La chronologie des piratages coïncide avec des moments clés des travaux de la commission PEGA. Le premier accès, en octobre 2022, intervient alors que les discussions s’intensifient autour de la rédaction du premier rapport décrivant les abus de spyware en Grèce, à Chypre, en Hongrie, en Pologne et en Espagne. Kouloglou se trouvait alors à l’hôpital pour une opération programmée, ce qui a pu permettre aux opérateurs d’écouter l’audio ambiant. Les deux infections suivantes, les 6 et 7 mars 2023, ont eu lieu alors qu’il voyageait d’Athènes à Bruxelles pour des audiences de la commission.
Dans un entretien accordé à TechCrunch, Kouloglou a déclaré qu’il prévoyait de poursuivre NSO Group en justice. « Vous réalisez que toutes vos données personnelles ont été prises, pas seulement les échanges professionnels ou les messages avec des ministres, mais aussi les choses très privées, les moments heureux et les moments tristes », a-t-il confié. Un autre député européen a qualifié le piratage du téléphone de Kouloglou d’« attaque directe contre l’État de droit » et a appelé la Commission européenne à imposer des limites strictes à l’utilisation des spyware dans l’ensemble des 27 États membres.
NSO Group, basé en Israël, reste largement interdit d’utilisation aux États-Unis depuis un décret de l’ère Biden. L’année dernière, le fabricant de spyware a confirmé qu’un groupe d’investissement américain non identifié avait injecté des dizaines de millions de dollars dans l’entreprise, probablement dans le cadre d’une tentative de réhabilitation de sa marque entachée par des accusations de violations des droits humains.
Cette affaire relance les questions sur l’usage des logiciels espions par des États membres de l’Union européenne. La commission PEGA, créée en 2022, avait documenté des cas d’utilisation abusive de Pegasus et d’autres spyware dans plusieurs pays européens, notamment en Grèce, à Chypre, en Hongrie, en Pologne et en Espagne. Le rapport final de la commission, adopté en mai 2023, appelait à un encadrement strict des ventes et de l’utilisation de ces outils de surveillance.
Kouloglou a indiqué qu’il rendait son histoire publique « pour la démocratie, les droits humains et la lutte contre la corruption ». « La corruption concerne tout le monde », a-t-il déclaré.
