Un député européen piraté par un logiciel espion israélien

EU-Abgeordneter von israelischer Spyware gehackt
Credit: Reuters

Un nouveau cas de logiciel espion a intensifié le débat déjà tendu en Europe sur la surveillance illégale, la responsabilité démocratique et les limites du contrôle politique. Stelios Kouloglou, ancien député grec au Parlement européen qui siégeait au comité chargé d’enquêter sur les abus liés aux logiciels espions, a lui-même été piraté avec Pegasus, l’outil de surveillance de fabrication israélienne lié au groupe NSO. Ce dossier est important non seulement en raison de l’identité de la personne ciblée, mais aussi parce que la cible faisait partie de l’institution même qui cherchait à mettre au jour ces abus.

Ce rapport s’inscrit dans un contexte où la controverse sur les logiciels espions a profondément ébranlé la position politique de l’Union européenne. Selon l’analyse menée par Citizen Lab, le téléphone de Kouloglou avait déjà été compromis au moins à trois reprises, en octobre 2022 et en mars 2023, alors qu’il travaillait au sein de la commission PEGA. Cette commission avait été créée pour enquêter sur l’usage abusif de Pegasus et de logiciels similaires en Europe. L’affaire prend donc une dimension plus que symbolique, puisque l’enquêteur se retrouve lui-même sous surveillance. Plus préoccupant encore, dans ce cas précis, c’est la convergence entre l’enquête institutionnelle et la surveillance numérique. D’après le rapport fondé sur l’analyse, les attaques ont été découvertes à la suite d’une expertise médico-légale du téléphone, et le logiciel espion identifié n’était autre que Pegasus.

Pourquoi cette affaire compte

L’affaire Pegasus impliquant Kouloglou n’est pas un simple incident de logiciel espion. Elle constitue un défi direct à la capacité des institutions démocratiques de contrôler la surveillance illégale lorsque ces mêmes institutions peuvent elles-mêmes être compromises. Concrètement, cela soulève une question essentielle : les parlementaires, journalistes, militants et enquêteurs peuvent-ils réellement examiner en toute sécurité les abus de surveillance étatique ou privée s’ils sont exposés aux mêmes outils qu’ils tentent de réguler ?

Ce contexte est particulièrement important. Pegasus a été associé à de nombreux cas d’attaques visant des journalistes, des avocats, des défenseurs des droits humains, des opposants au régime et des responsables gouvernementaux. Dans ce cas, la cible était un ancien eurodéputé et journaliste travaillant au sein de la structure interne du Parlement européen. Cela, à lui seul, montre les implications politiques de l’affaire. Une telle allégation suggère en effet un effet dissuasif qui dépasse la simple compromission d’un téléphone portable. Elle peut entraver les procédures d’enquête et même normaliser la surveillance comme moyen de contourner la responsabilité politique. Le fait que des membres d’un comité créé pour lutter contre les abus de logiciels espions soient concernés par de telles allégations montre à quel point la situation menace la crédibilité des institutions chargées de protéger le droit à la vie privée en Europe.

Ce que l’enquête a révélé

Citizen Lab, un institut de recherche sur les droits numériques affilié à l’Université de Toronto, a trouvé des indices de compromission sur l’appareil de Kouloglou à au moins trois reprises. Selon le rapport, la première infection a eu lieu en octobre 2022, tandis que d’autres attaques ont suivi en mars 2023. Cette chronologie est importante, car elle montre une continuité des attaques plutôt qu’un incident isolé. Des infections multiples indiquent qu’il existait un intérêt persistant à le cibler par la surveillance.

D’après les rapports, le logiciel malveillant identifié dans ces incidents était Pegasus. Pegasus compte parmi les logiciels espions les plus tristement célèbres jamais découverts, et il se caractérise par des attaques sophistiquées qui peuvent fonctionner avec une interaction minimale, voire nulle, de la part de la victime. Des rapports indiquent que cet épisode précis aurait reposé sur une stratégie d’attaque sans clic, ce qui signifie que la victime n’avait pas besoin d’ouvrir de lien pour que l’infection se produise.

L’enquête a également précisé qu’aucune preuve publique ne désignait le gouvernement grec comme opérateur. Cette prudence est importante. L’attribution technique dans les affaires de logiciels espions est notoirement difficile, et les chercheurs évitent souvent de tirer des conclusions politiques au-delà de ce que les données médico-légales permettent d’établir. Néanmoins, l’absence d’un auteur nommé ne diminue en rien la gravité de l’affaire. Elle met plutôt en lumière l’opacité du marché des logiciels espions et la difficulté d’établir les responsabilités une fois ces outils déployés.

Le problème Pegasus plus large

Pegasus a été développé par le groupe NSO, basé en Israël, et se trouve au cœur d’un scandale mondial lié à la surveillance numérique clandestine. Il a été accusé de permettre des abus bien au-delà des objectifs légitimes de l’application de la loi. Ses détracteurs affirment que l’outil a été utilisé à plusieurs reprises contre des personnes qui représentent une gêne politique plutôt qu’une menace pour la sécurité. Pegasus est ainsi devenu un raccourci mondial pour désigner les abus liés aux logiciels espions commerciaux.

En Europe, la controverse autour de Pegasus s’est révélée déstabilisante, car elle dépasse les clivages partisans et les frontières nationales. Les institutions européennes, les autorités nationales et les organisations de défense des droits civiques ont subi des pressions pour expliquer comment l’usage de tels outils avait été autorisé, comment il avait eu lieu, et quelles mesures avaient été mises en place pour encadrer l’acquisition et l’utilisation de logiciels espions. C’est précisément pour cette raison que la commission PEGA a vu le jour. Elle est chargée d’analyser la surveillance illégale et l’ampleur des abus, ainsi que de formuler des propositions de réforme.

L’affaire met aussi en évidence un problème structurel : les logiciels espions ne relèvent pas seulement de la technologie, mais aussi de la gouvernance. Une fois de tels outils disponibles sur le marché, leur utilisation peut se diffuser dans des zones où les contrôles juridiques sont faibles, où la supervision est fragmentée et où la responsabilité avance lentement. Même lorsque les gouvernements affirment n’utiliser les outils de surveillance qu’à des fins légitimes d’application de la loi, les scandales répétés ont montré à quel point ces outils peuvent être détournés ou abusés.

Portée politique de Kouloglou

Stelios Kouloglou n’est pas une victime ordinaire. Il est un journaliste grec et ancien député européen, en fonction de 2015 à 2024. Son parcours compte, car il se situe à l’intersection des médias, de la politique et de la responsabilité. En tant que journaliste, il connaît les risques liés à la surveillance. En tant qu’eurodéputé, il avait accès au processus institutionnel censé répondre à ces risques.

Cette combinaison donne à l’affaire un poids supplémentaire. Elle montre que les logiciels espions ne sont pas réservés aux dissidents dans les États autoritaires ; ils peuvent aussi atteindre les rangs des législateurs européens et des figures de l’investigation. Le fait que Kouloglou ait été ciblé pendant son rôle dans une enquête parlementaire rend l’attaque particulièrement ciblée, comme si le système de surveillance réagissait directement au regard critique porté sur lui.

C’est pourquoi cette affaire a des implications importantes pour la démocratie en Europe. Si les personnes qui enquêtent sur l’usage des logiciels espions sont elles-mêmes vulnérables à ce type d’intrusion, la frontière entre observateur et victime devient dangereusement floue. Une autre question se pose également : d’autres participants à l’enquête sont-ils exposés au même risque sans que leur identité soit rendue publique ? Même sans évoquer d’autres cas, l’affaire Kouloglou suffit à donner l’impression que les institutions politiques sont toujours un pas en retard.

Déclarations et implications

Les conclusions de Citizen Lab présentent effectivement l’incident comme un exemple de retour de bâton de la surveillance, où les outils dénoncés par les organes de contrôle sont retournés contre ces mêmes organes. Les chercheurs ont indiqué que le schéma d’infection correspondait à des campagnes antérieures menées contre des journalistes et militants russes et biélorusses exilés en Europe, ce qui laisse penser que ce ciblage pourrait s’inscrire dans un mode opératoire plus large plutôt que dans un événement isolé.

Selon un rapport de Reuters, l’identité de la victime était celle d’un ancien eurodéputé qui siégeait à une commission créée pour examiner les questions de surveillance intrusive. Cet aspect est essentiel, car il met en évidence l’ironie de l’affaire. En effet, il ne s’agit pas seulement du piratage d’un téléphone, mais d’un problème plus fondamental lié aux mécanismes de contrôle démocratique.

Une lecture utile de cette affaire est qu’elle révèle un déficit de confiance. Les citoyens sont appelés à croire que les pouvoirs de surveillance sont utilisés de manière responsable, mais les scandales répétés liés à Pegasus racontent une autre histoire. Chaque nouvel épisode ajoute à un dossier déjà lourd de preuves montrant qu’il est difficile de contenir les logiciels espions commerciaux une fois qu’ils entrent dans l’écosystème politique. Cela rend la réforme plus difficile, et non plus simple, car chaque controverse renforce l’idée que la supervision arrive toujours trop tard.

Picture of Research Staff

Research Staff

Sign up for our Newsletter