Chargé de faire la lumière sur les dérives de Pegasus au Parlement européen, Stelios Kouloglou était lui-même sur écoute. Deux infections, calées sur les moments décisifs de la commission PEGA. Trois ans plus tard, les recommandations dorment toujours.

Au printemps 2022, le Parlement européen créait la commission PEGA, chargée d'enquêter sur l'usage de Pegasus et des logiciels espions équivalents contre des journalistes, des avocats et des opposants sur le sol de l'Union. Le laboratoire Citizen Lab de l'université de Toronto révèle aujourd'hui que l'un de ses membres, l'eurodéputé grec Stelios Kouloglou, a été infecté par ce même Pegasus pendant les travaux. C'est la première fois qu'un membre de cette commission est publiquement identifié comme victime du logiciel qu'il était censé passer au crible.
Deux infections synchronisées avec l'agenda de la commission
L'analyse du téléphone de ce journaliste de profession, membre suppléant de la commission, établit avec un haut degré de confiance deux compromissions distinctes. La première remonte aux alentours d'octobre 2022, alors que la commission préparait ses auditions et le premier jet de son rapport. La seconde intervient vers mars 2023, en pleine discussion sur la version finale du texte. Ces deux fenêtres correspondent, à chaque fois, aux moments où savoir ce qui se disait dans les couloirs de la commission valait de l'or pour quelqu'un.
Pegasus s'installe sans le moindre clic de la victime, l'équivalent numérique d'un cambriolage sans effraction, avant d'aspirer messages, photos, appels et micro. Kouloglou était par ailleurs hospitalisé au moment de la première infection, ce qui a pu exposer des informations médicales couvertes par le secret (un détail qui n'arrange rien au dossier). L'identité du commanditaire reste inconnue, Citizen Lab se gardant de toute attribution. Une collègue allemande de la commission résume l'ambiance d'un trait : beaucoup de ses membres s'attendaient à être piratés. L'intéressé, lui, annonce des poursuites contre NSO Group, l'éditeur israélien du logiciel, qui n'a pas répondu aux sollicitations.
Des recommandations votées en 2023, restées lettre morte
La commission PEGA était née dans la foulée des révélations du Pegasus Project à l'été 2021, qui avaient placé la France au premier rang des pays concernés. Le numéro d'Emmanuel Macron figurait alors parmi les cibles potentielles sélectionnées par un client de NSO, et l'Élysée avait changé ses téléphones dans la semaine. Après quatorze mois de travaux, le Parlement adoptait ses recommandations le 15 juin 2023, par 411 voix pour (un score confortable, pour un texte qui visait directement plusieurs capitales). Le texte réclamait un encadrement strict des logiciels espions dans l'Union, de véritables enquêtes sur les abus des États membres, un soutien aux victimes et la création d'un laboratoire technique européen capable de détecter les infections.
Rien de tout cela n'était contraignant, et rien n'a été appliqué depuis : ni la Commission européenne ni les capitales n'ont donné suite. Le Parlement constatait d'ailleurs dès l'époque qu'aucune victime d'abus de logiciel espion n'avait obtenu justice en Europe. Le cas Kouloglou transforme ce dossier classé en pièce à conviction : pendant que l'institution rédigeait ses garde-fous, quelqu'un écoutait ses rédacteurs. La voie judiciaire reste donc la seule ouverte, et elle avance à petits pas : WhatsApp vient de retourner devant les tribunaux contre NSO, l'injonction obtenue en 2025 n'ayant visiblement pas suffi à calmer les ardeurs de l'éditeur. Les chercheurs préviennent d'ailleurs que d'autres parlementaires piratés devraient sortir du bois dans les prochains mois.