Pegasus a infecté à plusieurs reprises l’iPhone de Stelios Kouloglou alors que l’eurodéputé participait à une enquête parlementaire sur les abus liés aux logiciels espions. Les intrusions, survenues entre octobre 2022 et mars 2023, ont pu exposer des documents confidentiels et des échanges internes de la commission PEGA. Le commanditaire n’a pas été identifié.
Son iPhone a été infecté à trois reprises
Des chercheurs ont découvert des traces de Pegasus sur l’iPhone de Stelios Kouloglou, journaliste d’investigation grec et ancien député européen.
L’analyse médico-légale menée en mai 2026 a révélé au moins trois infections réussies. Les chercheurs estiment avec un niveau de confiance élevé que l’appareil a été compromis autour du 21 octobre 2022, puis les 6 et 7 mars 2023.
À cette période, Stelios Kouloglou était membre suppléant de la commission PEGA, créée par le Parlement européen pour enquêter sur l’utilisation de Pegasus et d’autres logiciels espions dans l’Union européenne.
Pegasus a exploité une attaque sans aucun clic
La première infection aurait utilisé PWNYOURHOME, une ancienne chaîne d’exploitation dite « zero-click ».
Une telle attaque peut compromettre un iPhone sans que son propriétaire ouvre un lien, installe une application ou confirme une demande. La victime peut donc ne constater aucun signe visible au moment de l’intrusion.
La chaîne d’exploitation visait notamment des composants liés à HomeKit et au traitement des messages. Apple a depuis corrigé les failles utilisées.
L’analyse de l’appareil a également montré que Stelios Kouloglou avait reçu trois notifications d’Apple signalant des tentatives liées à un logiciel espion mercenaire : le 2 mars 2023, le 29 août 2023 et le 10 avril 2024. Ces alertes ne sont pas toujours envoyées immédiatement après une attaque.
Les infections ont coïncidé avec des travaux confidentiels
La première infection est survenue pendant une période particulièrement sensible pour la commission PEGA. En octobre 2022, ses membres préparaient une première version de leur rapport sur l’usage des logiciels espions en Europe.
Des projets de rapport, des courriels et des messages circulaient alors entre les eurodéputés et leurs collaborateurs. Stelios Kouloglou participait également à la préparation de déplacements de la commission en Grèce et à Chypre.
Les nouvelles infections détectées en mars 2023 ont eu lieu pendant la rédaction finale du rapport. L’ancien eurodéputé se trouvait alors à Bruxelles, où les membres de la commission poursuivaient leurs discussions.
Des documents parlementaires ont pu être consultés
Une infection réussie par Pegasus peut donner accès aux messages, courriels, fichiers, photos, données de localisation et communications stockés sur un smartphone.
L’opérateur du logiciel espion a donc potentiellement pu consulter des informations non publiques sur les travaux de la commission PEGA. Les données exposées pourraient comprendre des documents préparatoires, des discussions internes et des délibérations parlementaires confidentielles.
Les chercheurs ne peuvent pas confirmer précisément quelles informations ont été récupérées. Ils estiment néanmoins que Pegasus a probablement capté des données relatives aux activités de la commission.
Stelios Kouloglou est le premier membre de la commission PEGA publiquement identifié comme victime de Pegasus pendant les travaux de cette même commission.
Le commanditaire de l’espionnage reste inconnu
Les chercheurs n’attribuent pas les infections à un gouvernement ni à un client précis de NSO Group, l’entreprise israélienne qui commercialise Pegasus.
Aucun élément technique ne permet d’accuser le gouvernement grec. Les chercheurs précisent ne disposer d’aucun indice montrant que les autorités grecques utilisaient Pegasus contre Stelios Kouloglou.
Ils ont toutefois relevé un lien technique avec une campagne précédemment identifiée contre des journalistes indépendants, des militants et des opposants russophones ou biélorussophones exilés en Europe.
La même adresse électronique liée à l’infrastructure d’attaque apparaît dans les deux affaires. Cette correspondance laisse penser qu’un même opérateur pourrait être impliqué dans la première infection, sans révéler son identité ni celle de son donneur d’ordre.
Un opérateur autorisé à agir dans plusieurs pays européens
Le téléphone de Stelios Kouloglou semble avoir été infecté dans au moins deux pays : la Grèce et la Belgique.
D’après les chercheurs, cette situation pourrait indiquer que l’opérateur disposait d’une licence lui permettant de déployer Pegasus dans plusieurs juridictions européennes.
Cette donnée réduit le nombre de clients susceptibles d’être impliqués, mais elle ne permet toujours pas d’identifier avec certitude le responsable.
Le Parlement européen est appelé à enquêter
Le piratage d’un membre de la commission PEGA soulève une question sensible : un acteur extérieur a-t-il eu accès aux informations confidentielles d’une enquête parlementaire portant directement sur l’usage abusif des logiciels espions ?
Les chercheurs demandent aux institutions européennes d’ouvrir une enquête et de vérifier les appareils utilisés par les membres de la commission ainsi que par leurs collaborateurs.
Ils recommandent aussi aux eurodéputés d’activer le mode Isolement de l’iPhone, conçu pour réduire la surface d’attaque face aux logiciels espions mercenaires.
Le Parlement européen propose déjà des analyses destinées à détecter ce type de menace. La découverte des infections plusieurs années après les faits montre néanmoins que certaines compromissions peuvent rester invisibles pendant une longue période.
Sources
https://citizenlab.ca/research/member-of-committee-investigating-spyware-hacked-with-pegasus

Eric Thomas suit l’actualité de Windows, des logiciels, de la cybersécurité grand public et des outils web. Il s’intéresse aux mises à jour système, aux nouveautés informatiques et aux solutions pratiques qui améliorent l’expérience numérique au quotidien.
