Scandale Pegasus : un eurodéputé chargé de l'enquête découvre qu'il était lui aussi espionné
Le téléphone de Stelios Kouloglou, membre de la commission européenne qui enquêtait sur les logiciels espions, a été infecté deux fois par Pegasus pendant son mandat. Comment ce spyware s'invite sur n'importe quel smartphone et comment s'en protéger.
Il enquêtait sur le logiciel espion le plus tristement célèbre du monde. Et ce logiciel espion l'écoutait.
Stelios Kouloglou, ancien eurodéputé grec, siégeait à la commission du Parlement européen chargée de traquer les abus des logiciels espions. Pendant qu'il faisait ce travail, son propre téléphone était infecté par Pegasus, précisément l'outil que sa commission démontait.
Pegasus, c'est le logiciel espion (spyware) commercialisé par la société israélienne NSO Group, vendu à des gouvernements pour prendre le contrôle total d'un smartphone à distance. La commission qui l'étudiait s'appelait la commission PEGA, un nom emprunté à Pegasus lui-même. L'ironie est presque parfaite.
Le laboratoire Citizen Lab (unité de recherche en cybersécurité de l'université de Toronto) l'a confirmé le 2 juillet : le téléphone de Kouloglou a été infecté deux fois, en octobre 2022 puis en mars 2023 [1].
Dans cet article :
- Le fouineur fouiné : ce que Citizen Lab a trouvé dans le téléphone
- « Zéro clic » : comment Pegasus entre sans qu'on ne touche à rien
- Pourquoi un iPhone à jour ne sauve pas forcément
- 50 000 numéros, une poignée de sanctions : l'impunité organisée
- La stratégie Posthumain : ce qu'on peut vraiment faire
Le fouineur fouiné : ce que Citizen Lab a trouvé dans le téléphone
Kouloglou a représenté la Grèce au Parlement européen de 2015 à 2024. En mai 2026, inquiet, il a demandé au Citizen Lab d'analyser son iPhone. Les chercheurs ont conclu « avec un haut niveau de confiance » qu'il avait été piraté [1].
Le timing n'a rien d'un hasard. La première infection est survenue le 21 octobre 2022, moins d'une semaine avant une série d'auditions et alors que la commission préparait un rapport. La seconde a eu lieu en mars 2023, environ deux mois avant l'adoption du premier rapport de la commission.
Autrement dit : quelqu'un s'est branché sur le téléphone de l'espion juste avant les moments où ce téléphone contenait le plus de secrets. Kouloglou voyageait alors d'Athènes vers Bruxelles [2].
Ce que l'attaquant a pu voir donne le vertige. Selon le rapport, l'infection a pu exposer des échanges strictement confidentiels entre membres de la commission et leurs équipes — potentiellement aux yeux mêmes des parties visées par l'enquête [3].

Kouloglou croit que le gouvernement grec est responsable. Le Citizen Lab, lui, dit n'avoir aucun indice en ce sens, et rappelle que le scandale d'espionnage grec impliquait un autre outil, Predator (fabriqué par Intellexa), et non Pegasus [1].
Les enquêteurs n'ont pas nommé de pays. Mais ils ont relevé un détail troublant : l'adresse e-mail piégée utilisée contre Kouloglou en 2022 est la même que celle d'une campagne visant sept journalistes et opposants russophones en Europe. Un indice fort que le même « client » de NSO est à la manœuvre [4].
« Zéro clic » : comment Pegasus entre sans qu'on ne touche à rien
Voici le point qui devrait tous nous concerner. Pour infecter Kouloglou, personne n'a eu besoin qu'il clique sur quoi que ce soit. Aucun lien piégé, aucune pièce jointe ouverte.
✊ Posthumain n'existe que grâce aux abonnements.
Aucun algorithme. Aucune pub.
❤️ Soutenez-nous aujourd'hui et accédez immédiatement à tous les articles Premium.
C'est ce qu'on appelle un exploit « zéro clic » : une attaque qui exploite une faille du téléphone sans la moindre action de la victime [5]. Le message arrive, le téléphone le traite tout seul en arrière-plan et c'est déjà fini.
Dans le cas de Kouloglou, le Citizen Lab a identifié la technique : un exploit baptisé PWNYOURHOME. Il se déroule en deux temps : une première salve vise HomeKit (la brique domotique d'Apple, pour piloter les objets connectés), puis une seconde frappe iMessage [1].
Le plus déroutant : PWNYOURHOME fonctionne même si l'on n'a jamais configuré le moindre accessoire connecté dans HomeKit. La porte existe, que l'on s'en serve ou non [6].
Une fois installé, Pegasus donne à son opérateur un pouvoir quasi total. Lors du procès WhatsApp, NSO a dû reconnaître que son outil aspire « toutes les données possibles » d'un téléphone [7].
Concrètement : messages, y compris ceux des applications chiffrées comme WhatsApp ou Signal, photos, contacts, position en temps réel. Et le pire, l'activation à distance du micro et de la caméra, sans que rien ne s'allume [8].
Pourquoi un iPhone à jour ne sauve pas forcément
On aimerait croire qu'un iPhone récent et à jour est un coffre-fort. La réalité est plus rude : Pegasus a longtemps couru plus vite qu'Apple.
Le mécanisme ressemble à une course sans fin. Apple découvre une faille, la colmate ; les clients de NSO déploient un nouvel exploit sur une faille encore inconnue (un « zéro-day », une faille que l'éditeur n'a pas eu le temps de corriger). Puis ça recommence.

La démonstration la plus brutale date de septembre 2023 : l'exploit BLASTPASS compromettait des iPhone tournant sur la toute dernière version d'iOS d'alors (16.6), toujours sans le moindre clic [9].
La faille se nichait dans une bibliothèque de traitement d'images baptisée libwebp, un composant présent bien au-delà d'Apple, jusque dans Chrome, Signal ou Microsoft Teams. Une seule brique fragile, des milliards d'appareils exposés.
Ce n'est pas un problème réservé aux iPhone. Le procès WhatsApp l'a établi : NSO dépense des dizaines de millions par an pour développer des méthodes d'infection via messageries, navigateurs et systèmes d'exploitation, sur iOS comme sur Android [7].
Une bonne nouvelle malgré tout. Apple a fini par sortir une arme dédiée, le Mode Isolement (Lockdown Mode) et le Citizen Lab a observé qu'il avait réellement bloqué des tentatives d'attaque PWNYOURHOME en temps réel [10]. On y revient plus bas, car c'est le meilleur levier.
50 000 numéros, une poignée de sanctions : l'impunité organisée
L'affaire Kouloglou n'est pas un cas isolé. Elle est la pointe d'un iceberg documenté depuis 2021 par le Projet Pegasus, une enquête internationale coordonnée par le collectif de journalistes Forbidden Stories avec le laboratoire d'Amnesty International.
Le point de départ : une fuite de plus de 50 000 numéros de téléphone sélectionnés comme cibles potentielles par les clients de NSO, dans plus de 50 pays depuis 2016 [11]. Dans ce fichier figuraient des chefs d'État, des avocats, des opposants et près de 200 journalistes.
Côté Parlement européen, Kouloglou n'est pas le premier visé. Quatre eurodéputés catalans avaient déjà été ciblés par Pegasus avant même la création de la commission PEGA. Mais il est le premier membre de cette commission identifié publiquement comme victime pendant son mandat [1].
Face à ce déluge, la justice a marqué un point rare. En 2019, WhatsApp a attaqué NSO après le piratage d'environ 1 400 de ses utilisateurs ; en mai 2025, un jury américain a condamné l'entreprise à verser 167 millions de dollars de dommages punitifs [12].
Sauf qu'en octobre 2025, la juge a jugé la somme excessive et l'a ramenée à un peu plus de 4 millions de dollars [13]. La sanction phare contre Pegasus a fondu des trois quarts en cinq mois.

Pendant ce temps, la commission PEGA avait pourtant fait son travail. Elle a auditionné plus de 215 interlocuteurs et adopté un rapport de 145 pages, suivi de recommandations en 2023. La Commission européenne les a largement ignorées [1].
La stratégie Posthumain : ce qu'on peut vraiment faire
Première chose à poser, sans démagogie : si vous n'êtes ni journaliste d'investigation, ni élu, ni militant, ni avocat de dossiers sensibles, la probabilité que Pegasus vous vise personnellement est très faible. Ces attaques coûtent cher et sont réservées à des cibles à haute valeur [14].
Mais deux raisons rendent le sujet concret pour tout le monde. D'abord, les mêmes techniques « zéro clic » se diffusent vers d'autres acteurs et menaces plus banales. Ensuite, les gestes qui compliquent la vie de Pegasus sont exactement ceux qui musclent votre sécurité au quotidien.
Le socle : l'hygiène qui bloque 99 % des attaques
Le conseil le plus ennuyeux est aussi le plus efficace : mettre tout à jour, vite. Pegasus exploite des failles non corrigées ; installer les mises à jour de sécurité dès leur sortie ferme la porte que l'exploit visait.
Ensuite, réduire la surface d'attaque. Activer l'authentification à deux facteurs partout, utiliser un gestionnaire de mots de passe et désactiver les services qu'on n'utilise pas — iMessage et FaceTime sont des portes d'entrée récurrentes des exploits « zéro clic ».
Un réflexe simple aide aussi : redémarrer son téléphone régulièrement. Certaines variantes de spyware vivent surtout en mémoire vive ; un redémarrage peut interrompre le processus, même si ce n'est pas une solution durable [15].
Le geste que presque personne n'active
Voilà le cœur du sujet. La vraie question n'est pas « ai-je une appli espion ? » Pegasus n'en est pas une et il ne se voit pas. La vraie question, c'est de savoir quel réglage précis, déjà présent dans son téléphone, peut faire échouer l'attaque avant qu'elle réussisse.
Car ce réglage existe, il est gratuit, et le Citizen Lab a la preuve qu'il a bloqué Pegasus dans la vraie vie. Encore faut-il l'activer dans le bon ordre, sans commettre l'erreur qui le rend inutile.
Concrètement, il y a un levier à activer maintenant — dans un ordre bien défini — et un piège à éviter juste avant, sans quoi la protection ne sert à rien…