Des chercheurs en sécurité ont confirmé qu'un politicien européen s'est fait pirater son téléphone avec le logiciel espion Pegasus alors qu'il siégeait dans un comité d'enquête sur les abus de cet outil de surveillance notoire. Cela a relancé la controverse sur les gouvernements qui abusent des logiciels espions pour collecter des informations sur leurs critiques.

Les chercheurs de l'unité des droits numériques de l'Université de Toronto, The Citizen Lab, affirment que le piratage confirmé du téléphone du journaliste grec et ancien politicien Stelios Kouloglou en 2022 et 2023 marque la première fois qu'un membre du comité PEGA du Parlement européen, chargé d'enquêter sur les attaques de logiciels espions téléphoniques par les gouvernements européens, a été publiquement identifié comme victime de logiciels espions.

Kouloglou a déclaré à TechCrunch lors d'un appel téléphonique que la compromission délibérée de son téléphone était "imprudente". Un député européen en exercice a qualifié le piratage du téléphone de Kouloglou d'"attaque directe contre l'État de droit" et a appelé la Commission européenne à prendre des mesures concrètes en imposant des limites strictes à l'utilisation des logiciels espions dans les 27 États membres.

Bien que les attaques de logiciels espions contre des législateurs soient rares, le moment et le ciblage d'un enquêteur du comité par le logiciel espion même qu'il enquêtait suggèrent une attention intense sur les travaux internes du comité avant un rapport très attendu détaillant ses conclusions. Les piratages soulèvent de nouvelles questions sur la façon dont les gouvernements utilisent des logiciels espions soi-disant nécessaires pour identifier les crimes graves, mais sont ensuite pris à espionner les communications des journalistes, des législateurs et des critiques.

Les chercheurs de Citizen Lab n'ont pas attribué le piratage téléphonique à un pays spécifique, mais ont déclaré que le client gouvernemental a utilisé la même adresse e-mail chargée de Pegasus qui avait été utilisée dans une campagne précédente qui a piraté les téléphones de journalistes à travers l'Europe. L'identité du client n'est pas connue, mais la réutilisation de la même adresse e-mail d'attaque implique que le client avait l'autorisation du Groupe NSO d'utiliser son logiciel espion Pegasus pour espionner les téléphones dans plusieurs pays d'Europe.

Un porte-parole de la Commission européenne n'a pas répondu à la demande de commentaire de TechCrunch. Le Groupe NSO n'a pas non plus répondu à une demande de commentaire sur le rapport de Citizen Lab avant la publication.

Dans son rapport publié vendredi, Citizen Lab a déclaré que Kouloglou a été piraté en octobre 2022 et au moins deux fois en mars 2023 en utilisant une exploitation qui compromettait une vulnérabilité de sécurité dans le logiciel iPhone d'Apple. Cette vulnérabilité avait été corrigée mais le correctif n'était pas encore installé sur le téléphone de Kouloglou. L'exploitation était un bogue "zero-click", ce qui signifie que le logiciel espion s'est introduit et a volé ses données sans aucune interaction de sa part.

Le bogue abusait d'une faille précédemment découverte dans le logiciel de maison intelligente d'Apple utilisé dans les iPhones. Il permettait au logiciel espion de récupérer des données privées du téléphone de Kouloglou à son insu, comme ses messages texte et autres correspondances, données de localisation et photos.

Le moment du piratage d'octobre 2022 coïncide avec des discussions intenses par e-mail et message texte tout au long d'octobre et novembre 2022, avant la livraison d'un premier projet décrivant les abus de logiciels espions se concentrant sur Chypre, la Grèce, la Hongrie, la Pologne et l'Espagne.

Le piratage coïncide également exactement au moment où Kouloglou était à l'hôpital pour une chirurgie programmée, ce qui peut avoir permis aux opérateurs du logiciel espion d'écouter l'audio ambiant discutant de ses soins de santé ou d'autres conversations qu'il avait avec des visiteurs à ce moment-là.

Des mois plus tard, les 6 et 7 mars, Citizen Lab a déclaré que le téléphone de Kouloglou a été de nouveau piraté par le même opérateur Pegasus alors que Kouloglou voyageait d'Athènes à Bruxelles, pendant une période d'audiences du comité et des mois avant que le comité ne finalise et n'adopte son projet de rapport écrit.

Lors d'un appel, Kouloglou a déclaré à TechCrunch qu'il ne savait pas pourquoi il avait été spécifiquement ciblé mais qu'il pense que c'était dû à son travail au sein du comité du Parlement européen enquêtant sur les abus de Pegasus.

Il a décrit sa colère lorsqu'il a appris que le piratage avait eu lieu.