Les fichiers Pegasus: comment le logiciel espion de NSO a atteint 50 000 téléphones
Le vingt-deux avril 2018. aéroport international de Dubaï. une salle de détention.
Une femme de 51 ans nommée Hanan Elatr est détenue par les autorités des Émirats arabes unis. Elle est une commissaire de bord, une superviseure de haute direction d'une grande compagnie aérienne internationale. Elle est aussi la femme d'un journaliste saoudien nommé Jamal Khashoggi.
Ses appareils ont été pris en détention officielle et ses téléphones sont placés sur un bureau, quelque part à l'écart de sa vue, en possession du personnel de sécurité des Émirats arabes unis.
À 10:14 du matin, un officiel des Émirats arabes unis, qui n'a pas été identifié, prend un de ses téléphones Android. L'officiel ouvre le navigateur Chrome. L'officiel tape une URL dans la barre d'adresses - en se penchant sur les petits touches, en faisant deux fautes de frappe en cours de route, puis en appuyant sur continue.
L'adresse est un lien d'infection Pegasus.Le site Web a été construit spécifiquement pour le compte du gouvernement des Émirats arabes unis NSO Group.Il existe à un seul but: installer silencieusement un logiciel de surveillance sur le téléphone d'une cible.
Au cours des quarante prochaines secondes, le téléphone envoie vingt-sept rapports d'état sur le serveur de l'opérateur des EAU, mettant à jour les progrès de l'installation du logiciel espion.
Le processus de compromis total prend soixante-douze secondes.
Hanan Elatr ne sait rien de tout cela, elle est dans une pièce séparée, interrogée sur son mari.
Elle ne saura pas ce qu'on a fait à son téléphone pendant trois ans.
Six mois plus tard, le 2 octobre 2018, le mari de Hanan Elatr entre dans le consulat saoudien à Istanbul pour récupérer les documents dont il a besoin pour son mariage.
Il ne sort jamais.
Une équipe de quinze membres d'agents saoudiens, dont plusieurs sont étroitement liés au prince héritier Mohammed bin Salman, est partie à Istanbul ce matin-là en deux avions privés. Ils l'étranglent à l'intérieur du consulat. Ils démembrent son corps. Ils éliminent les restes d'une manière qui n'a jamais été publiquement récupérée.
Le gouvernement turc, qui a secrètement écouté le consulat saoudien, a enregistré l'audio du meurtre.
Ce dossier n'est pas sur l'assassinat lui-même, il a été documenté ailleurs.
Ce dossier porte sur ce qui a été fait dans les mois *avant* son entrée dans le consulat, sur un logiciel développé par une petite entreprise israélienne, sur les gens qui l'ont construit, sur les gouvernements qui l'ont acheté, et sur le mécanisme institutionnel qui, plus de sept ans plus tard, n'a toujours pas produit une pleine responsabilité pour ce qu'il a été utilisé pour faire.
Le logiciel s'appelle Pegasus.
La société s'appelle NSO Group.
Voici le dossier de l'affaire.
NSO Group a été fondée en 2010 par trois Israéliens: Niv Karmi, Shalev Hulio, Omri Lavie. Le nom de la société est construit à partir de leurs initiales.
Les trois étaient des anciens combattants des forces de défense israéliennes. Karmi avait servi dans les services de renseignement militaire et du Mossad. Hulio avait servi comme major dans l'unité de recherche et sauvetage de l'armée israélienne. La lignée institutionnelle la plus importante a traversé l'unité 8200 - l'unité de renseignement d'élite des signaux de l'armée israélienne, souvent décrite comme la plus importante agence de renseignement technique au monde.
L'unité 8200 est l'analogue israélienne de l'Agence de sécurité nationale des États-Unis. Ses anciens élèves - dont on estime à des dizaines de milliers de vétérans d'ici 2026 - ont constitué une fraction importante de l'industrie israélienne de la cybersécurité. L'équipe de recherche et développement du groupe NSO a été décrite, dans plusieurs sources, comme étant composée presque entièrement d'anciens membres du personnel de l'unité 8200. Le programme de formation le plus élite de l'unité 8200, appelé ARAM, ne reçoit que quelques recrues et les entraîne dans la programmation avancée des cyberarmes. Les employés les plus précieux du groupe NSO sont selon les rapports des diplômés d'ARAM et des programmes d'élite similaires.
L'histoire de l'origine publique des fondateurs, principalement racontée par Hulio dans de nombreuses interviews, se déroule comme suit.
À la fin des années 2000, Hulio et Lavie ont fondé une entreprise appelée CommuniTake, qui fournissait des solutions téléphoniques à distance pour les opérateurs mobiles - un logiciel qui permettait aux techniciens de support d'accéder à distance et d'exploiter les téléphones des clients pour diagnostiquer les problèmes.
Vers 2009, Hulio a déclaré dans des interviews ultérieures qu'une agence de renseignement européenne anonyme les avait contactés. L'agence avait un problème. Le chiffrement empêchait de lire les communications de cibles auxquelles elle était légalement autorisée à surveiller. L'agence était intéressée par la technologie d'accès à distance de CommuniTake.
Hulio et Lavie ont reconnu l'opportunité. Ils ont amené Niv Karmi pour son expérience dans le Mossad et le renseignement militaire. En 2010, ils ont fondé NSO Group. Le produit qu'ils ont développé, ils l'ont nommé Pegasus.
La structure de prix de Pegasus, documentée par les documents déposés devant les tribunaux dans les litiges ultérieurs, était approximativement la suivante: cinq cent mille dollars en frais de mise en place. Six cent cinquante mille dollars pour dix appareils cibles simultanés pour iOS, prix similaires pour Android. Niveaux de ciblage illimités jusqu'à environ quarante millions de dollars pour le déploiement gouvernemental à spectre complet.
Ces prix ont placé Pegasus à la portée institutionnelle de tout service de renseignement national, et expliquent pourquoi la clientèle était exclusivement des gouvernements.
La position déclarée de la société, répétée dans pratiquement toutes les réponses de la presse, était que Pegasus n'était vendu qu'aux clients du gouvernement contrôlés pour être utilisé dans la lutte contre le terrorisme et la criminalité grave.
Le comportement réel des clients, documenté par des chercheurs indépendants au cours de la décennie suivante, était différent.
À partir d'environ 2016, un groupe de recherche de l'Université de Toronto appelé Citizen Lab a commencé à documenter des cas individuels de déploiement de Pegasus. L'enquêteur principal était un chercheur nommé Bill Marczak. Sa méthodologie était forensique: lorsque des militants, des journalistes ou des dissidents signalaient un comportement téléphonique anormal, Marczak effectuait une analyse technique de leurs appareils, à la recherche d'indicateurs de présence de Pegasus.
Les résultats de chaque cas, accumulés sur cinq ans, ont établi un modèle.
Le gouvernement mexicain avait été l'un des premiers clients du groupe NSO, ayant signé un contrat de vingt millions de dollars en 2012.Citizen Lab a ensuite identifié les déploiements de Pegasus contre des journalistes d'investigation mexicains qui rapportaient sur la corruption gouvernementale, y compris des journalistes travaillant sur la disparition de quarante-trois étudiants à Iguala en 2014.
Les Émirats arabes unis. utilisation documentée contre des militantes des droits des femmes, dont Loujain al-Hathloul, qui a été enlevée en 2018 et retournée en Arabie saoudite pour être arrêtée et torturée.
Bahreïn: Pegasus a été déployé contre des journalistes, des militants des droits humains et des dissidents en violation de toute définition raisonnable du terrorisme ou du crime grave.
L'Arabie saoudite, l'utilisateur le plus prolifique, compte des cas qui se sont étendus sur plusieurs années.
En été 2018, Citizen Lab avait documenté des compromis dans le cercle immédiat de Khashoggi.
Omar Abdulaziz, un blogueur dissident saoudien vivant en exil au Canada, était le principal collaborateur de Khashoggi sur des projets de l'opposition saoudienne.Les deux hommes avaient utilisé WhatsApp pour discuter de plans de lutte contre la propagande des médias sociaux de l'État saoudien.Le téléphone d'Abdulaziz a été infecté par Pegasus à l'été 2018.L'infection a été attribuée par Citizen Lab, avec une grande confiance, à un opérateur lié au gouvernement et aux services de sécurité saoudiens.
Le rapport du Citizen Lab sur Abdulaziz a été publié le 1er octobre 2018.Un jour plus tard, Khashoggi est entré au consulat saoudien à Istanbul.
Pendant environ quatre mois avant le meurtre de Khashoggi, le gouvernement saoudien avait accès en temps réel à chaque message WhatsApp échangé entre lui et son collaborateur le plus proche.Khashoggi croyait que ses communications étaient privées.
L'analyse forensique du téléphone de Hatice Cengiz, menée dans le cadre de l'enquête ultérieure du projet Pegasus, a confirmé que son téléphone avait également été compromis par Pegasus au cours des jours qui ont entouré le meurtre.
L'analyse forensique du téléphone de Hanan Elatr, réalisée par Bill Marczak et publiée par *The Washington Post* en décembre 2021, a établi que l'installation de 72 secondes qui s'était produite à l'aéroport de Dubaï six mois avant l'assassinat avait été un déploiement du gouvernement des Émirats arabes unis de Pegasus, installé manuellement pendant sa détention.
La réponse du groupe NSO à la preuve du rôle de Pegasus dans l'affaire Khashoggi a été cohérente.
En mars 2019, le PDG du groupe NSO, Shalev Hulio, est apparu sur l'émission américaine 60 Minutes. L'intervieweur était Lesley Stahl. Hulio l'a regardée dans les yeux. Il a dit que NSO avait vérifié ses dossiers et confirmé que la technologie NSO n'avait pas été utilisée contre Khashoggi ou ses proches. Il a dit que la société n'avait rien à voir avec ce qu'il appelait le meurtre horrible.
En juillet 2021, lorsque l'enquête sur le projet Pegasus a été publiée, Hulio a répété le déni. Il a dit à la publication technologique israélienne Calcalist que NSO avait vérifié et que Hanan Elatr n'était pas une cible.
En décembre 2021, le Washington Post* a publié l'analyse médicale de Marczak montrant que le téléphone d'Elatr avait été en fait ciblé manuellement par un opérateur des Émirats arabes unis.L'avocat du NSO, Thomas Clare, a répondu que le rapport du Post était profondément défectueux et que les détails techniques n'avaient aucun sens du point de vue technique.Il a affirmé que Pegasus n'était installé que à distance et que l'installation manuelle décrite dans l'analyse médicale était donc improbable.
L'analyse de Marczak a documenté la séquence spécifique de caractères tapés, l'URL construite pour l'instance Pegasus du client des EAU, les erreurs de frappe que l'opérateur des EAU avait faites sur le clavier du téléphone et les vingt-sept rapports d'état que le téléphone avait renvoyés au serveur lors de l'installation.
Le schéma de déni dans le dossier de l'affaire Khashoggi a été démontré, dans les documents, comme étant incompatible avec les preuves médicales.
En 2020, une liste d'environ cinquante mille numéros de téléphone a été divulguée à une organisation à but non lucratif de journalisme basée à Paris appelée Forbidden Stories et à Amnesty International.
On pensait que la liste était une liste de cibles sélectionnées par les clients gouvernementaux du groupe NSO. Elle couvrait au moins cinquante pays. Elle remonte à environ 2016.
Forbidden Stories, fondée par le journaliste Laurent Richard, a historiquement porté sur la poursuite du travail des journalistes assassinés.Le projet Daphne, à la suite de l'assassinat de la journaliste maltaise Daphne Caruana Galizia en 2017.Le projet Cartel, à la suite des meurtres liés aux cartels de la drogue mexicains.Le schéma était le même: poursuivre le travail que des acteurs organisés avaient tenté de faire taire.
Cette enquête est devenue le projet Pegasus.
Forbidden Stories a invité seize autres médias à se joindre à lui. *Le Washington Post*. *Le Guardian*. *Le Monde* et *Radio France*. *Die Zeit* et *SÃ1⁄4ddeutsche Zeitung*. FRONTLINE PBS. *Haaretz*. *Indiens, mexicains, hongrois, belges, syriens et autres médias régionaux. Plus de quatre-vingts journalistes ont travaillé sur le projet.L'analyse technique a été réalisée par le Security Lab d'Amnesty International.
Le rapport du projet Pegasus a commencé à être publié le 18 juillet 2021.
Les résultats étaient précis. La liste divulguée comprenait au moins cent quatre-vingts journalistes de vingt pays, travaillant pour des médias tels que l'Agence France-Presse, Al Jazeera, Associated Press, CNN, *The Economist*, *Le Monde*, *The New York Times*, Reuters, *The Wall Street Journal* et Voice of America. Au moins dix gouvernements semblaient avoir soumis des noms à la liste cible: Arabie saoudite. Les Émirats arabes unis. Bahreïn. Maroc. Mexique. Hongrie. Inde. Rwanda. Azerbaïdjan. Kazakhstan.
Les cibles comprenaient des défenseurs des droits humains, des avocats, des politiciens de l'opposition, des chefs d'entreprise, des diplomates, des dirigeants syndicaux et plusieurs chefs d'État. Le numéro de téléphone du président français Emmanuel Macron figurait sur la liste.
L'analyse forensique de soixante-sept des téléphones ciblés a révélé trente-sept avec des traces d'activité Pegasus. vingt-trois infections confirmées. quatorze tentatives d'infection.
Les cibles nommées comprenaient Khadija Ismayilova, une journaliste d'investigation azerbaïdjanaise primée. Szabolcs Panyi, une journaliste d'investigation hongroise dont le téléphone a été compromis pendant sept mois en 2019. Siddarth Varadarajan, fondateur du site d'information indien The Wire. Omar Radi, une journaliste d'investigation marocaine, par la suite emprisonnée. Anand Teltumbde, une défenseuse des droits humains indienne, par la suite emprisonnée. Edwy Plenel, fondateur du média d'investigation français Mediapart. Hatice Cengiz. Hanan Elatr. Loujain al-Hathloul. La princesse Latifa, fille du souverain de Dubaï.
Une quarantaine de journalistes indiens figuraient sur la liste, ce qui suggérait que le gouvernement indien utilise Pegasus malgré les démentis officiels.
Le président Emmanuel Macron de France.
Le président de la France figurait sur une liste de numéros de téléphone que un client NSO non identifié avait sélectionnés pour la surveillance.
La réponse institutionnelle a été substantielle.
En novembre 2021, l'administration Biden a placé NSO Group sur la liste des entités du département du Commerce des États-Unis, limitant gravement l'accès de NSO à la technologie américaine et aux relations commerciales américaines.La désignation a été largement interprétée comme une détermination de la sécurité nationale - le gouvernement américain avait conclu que les activités du NSO Group étaient contraires aux intérêts de la politique étrangère américaine.
Le Parlement européen a créé un comité d'enquête sur Pegasus et les logiciels espions équivalents pour enquêter sur l'utilisation de la technologie de surveillance commerciale par les États membres de l'UE.Le rapport final du comité, en 2023, a documenté les déploiements de Pegasus par les gouvernements hongrois, polonais, espagnols et autres de l'UE contre les politiciens et les journalistes de l'opposition.
Le ministère israélien de la Défense a renforcé les restrictions à l'exportation, réduisant ainsi la liste des pays auxquels les sociétés de surveillance israéliennes pouvaient vendre de cent deux à trente-sept.
L'agence de renseignement espagnole CNI a vu la démission de son directeur, Paz Esteban, après le scandale de Catalangate dans lequel des dizaines de dirigeants de l'indépendance catalane avaient été ciblés avec Pegasus.
Le Mexique a lancé des enquêtes et des poursuites contre d'anciens fonctionnaires qui avaient acheté Pegasus.
La plus conséquente action en justice a été intentée par WhatsApp.
En mai 2019, WhatsApp avait identifié une vulnérabilité dans son application que NSO exploitait pour livrer Pegasus à plus de quatorze cents utilisateurs de WhatsApp dans le monde, y compris des journalistes, des militants des droits humains et des dissidents politiques.
L'affaire a duré cinq ans.
Le groupe NSO a tenté de défendre plusieurs façons. L'immunité souveraine étrangère, sur le motif que NSO devrait être traité comme un agent d'un gouvernement étranger. La Cour de district a rejeté cela en 2020. Le neuvième circuit a affirmé. La Cour suprême des États-Unis a refusé d'entendre l'appel de NSO en janvier 2023. Restrictions de droit étranger à la découverte, sur le motif que la loi israélienne empêchait NSO de produire le code source. Le juge Phyllis Hamilton a statué en novembre 2023 que les revendications de droit étranger n'excusaient pas les obligations de découverte de NSO. Jurisdiction personnelle. Les dossiers publiés en novembre 2024 ont révélé que NSO utilisait la technologie basée aux États-Unis, y compris l'infrastructure AWS, pour livrer des charges utiles Pegasus. Le tribunal a conclu que NSO était soumis à la juridiction américaine.
Le 20 décembre 2024, le juge Hamilton a rendu un jugement sommaire déclarant NSO Group responsable de toutes les réclamations. C'était la première décision du tribunal américain établissant la responsabilité du groupe NSO pour les comportements liés à Pegasus.
Le 6 mai 2025, le jury a accordé à WhatsApp quatre cent quarante-quatre mille dollars en dommages-intérêts légitimes et cent soixante-sept millions de dollars en dommages-intérêts punitifs.
Total: environ cent soixante-huit millions de dollars.
Dans une affaire parallèle, Apple avait intenté une action en justice contre NSO Group en novembre 2021.En septembre 2024, Apple a volontairement rejeté son cas.Le raisonnement, exprimé dans les documents judiciaires: poursuivre le litige exigerait la divulgation de détails sur l'infrastructure de sécurité d'Apple qui pourrait entraver ses efforts pour lutter contre les logiciels espions.Apple a soutenu que le marché des logiciels espions commerciaux s'était considérablement élargi depuis 2021, avec plusieurs concurrents entrant dans l'espace, et que même une victoire complète dans l'affaire Apple n'aurait pas l'impact systémique qu'elle aurait eu trois ans plus tôt.
Le retrait d'Apple a été largement interprété comme une perte stratégique - et comme une preuve du succès du groupe NSO dans l'utilisation de la découverte comme arme contre les plaignants dont le litige pourrait exposer les opérations de sécurité interne.
Pegasus est le produit commercial de logiciels espions le plus documenté, et pas le seul.
D'ici 2026, l'industrie des logiciels espions commerciaux comprenait au moins Predator, développé par le Consortium Intellexa - un réseau multinational de sociétés basé en Grèce, à Chypre, en Hongrie, en Macédoine du Nord et en Israël, fondé par l'ancien officier du renseignement des FDI Tal Dilian.
Candiru, une société israélienne spécialisée dans l'exploitation Windows, a été ajoutée à la liste des entités commerciales américaines aux côtés du groupe NSO en novembre 2021.
QuaDream, fondée par d'anciens employés de NSO, a développé REIGN, un produit similaire à Pegasus. officiellement fermé en avril 2023 après les rapports de Citizen Lab et Microsoft Threat Intelligence.
Hacking Team, le fournisseur italien, a été piraté et exposé en juillet 2015 par un pirate anonyme nommé Phineas Fisher.
Gamma Group, les fabricants anglo-allemands de FinFisher, violés par Phineas Fisher en 2014, a déposé une demande d'insolvabilité en 2022 au milieu d'une enquête pénale allemande.
La génération post-Pegasus de fournisseurs de logiciels espions commerciaux a continué à fonctionner.Le marché que le groupe NSO a lancé n'a pas disparu.Il s'est fragmenté à travers plus de fournisseurs, plus de juridictions et des structures d'entreprise plus sophistiquées conçues pour mieux résister aux mécanismes de responsabilisation.
En octobre 2025, le groupe NSO a lui-même confirmé qu'un groupe d'investisseurs américains dirigés par le producteur de films Robert Simonds avait acquis une participation en contrôle dans la société.Les implications de la transition de propriété - qu'elle indique une réhabilitation réglementaire, une transition complète vers les opérations américaines ou tout autre changement structurel - ne sont pas résolues à partir d'avril 2026.
Le groupe NSO continue de vendre Pegasus.La réaction institutionnelle, réelle et substantielle, a causé des dommages importants à l'entreprise.
Fragment Zero a suivi un principe dans les dossiers des derniers mois.
Le cas Stuxnet, fondamental de l'arc de canal, a démontré que les acteurs des États pouvaient construire des cyberarmes capables de destruction physique à l'échelle industrielle.La doctrine du silence, de la patience, de la capacité asymétrique exercée lorsque le calcul stratégique le favorise a été prouvée pour la première fois par les États-Unis et Israël contre le programme nucléaire iranien entre 2006 et 2010.
Le cas de Pegasus démontre la prochaine étape.
La technologie développée par les anciens de l'unité 8200 - essentiellement la même capacité institutionnelle que celle qui a construit Stuxnet - a été produite, évaluée et vendue à des gouvernements clients qui n'ont pas la capacité technique nécessaire pour développer de tels outils eux-mêmes.
La doctrine Liu Cixin - la révélation comme un danger existentiel, une capacité asymétrique exercée lorsque le calcul stratégique la favorise - s'applique non seulement aux États qui observent d'autres États, mais aussi aux entités commerciales qui vendent la capacité asymétrique à qui peut se le permettre.
L'affaire Khashoggi est l'illustration la plus claire.
Khashoggi ne pouvait pas communiquer en privé avec son collaborateur le plus proche. Il croyait pouvoir. Il utilisait des applications cryptées de bout en bout. Il utilisait la sécurité opérationnelle de la meilleure pratique. Rien n'a eu d'important, car le téléphone de son collaborateur a été compromis au niveau du système d'exploitation par un logiciel vendu au gouvernement saoudien par une entreprise israélienne fondée par des anciens de l'unité 8200.
L'asymétrie de l'information était complète, l'avantage stratégique était exercé, les conséquences se propageaient indépendamment des décisions ultérieures de Khashoggi.
Dans le langage des dossiers précédents de Fragment Zero, il ne pouvait pas non plus révéler ce qu'il avait déjà révélé.
La réponse institutionnelle - la liste des entités commerciales américaines, le jugement de WhatsApp de cent soixante-huit millions de dollars, le comité européen de PEGA, les restrictions d'exportation du ministère israélien de la Défense - est réelle. Il est également tard.
Les dommages causés à ces cibles - emprisonnement, exil, assassinat, divorce, destruction professionnelle, séparation familiale - étaient déjà survenus.
Hanan Elatr, qui était une superviseure de compagnie aérienne de haut niveau volant à l'international, travaillait à un restaurant à bas salaire dans la région de Washington à compter de 2023 pour faire des rapports. Elle craignait toujours pour sa sécurité. Elle vivait caché dans la région de Washington. Son permis de travail n'avait été délivré que récemment.
Le corps de Khashoggi n'a pas été retrouvé.
Le gouvernement saoudien a poursuivi onze Saoudiens accusés d'être impliqués dans le meurtre, ce qui a permis trois acquittements, cinq condamnations à mort et trois peines de prison en décembre 2019.
Le dossier de l'affaire ne se ferme pas.
Le troisième, quatrième et cinquième cas sont probablement en cours de développement en ce moment - construits par les fondateurs en tirant parti des erreurs réglementaires de l'ONS, en structurant les entités corporatives pour mieux résister aux rejetes de l'immunité souveraine, en fixant les prix de leurs produits pour éviter les seuils de la liste des entités, en trouvant des clients dans des juridictions où les régulateurs israéliens, américains et européens ont moins d'effet de levier.
La capacité qui a construit Stuxnet était d'état, la capacité qui a construit Pegasus était commerciale, la capacité qui construit la prochaine gamme de produits sera quelque soit le cadre réglementaire actuel qui rend rentable.
Dans les mois précédant son assassinat, Jamal Khashoggi croyait que ses communications étaient privées, et son gouvernement les lisait quand même.La technologie qui permettait cela avait été construite par des vétérans des services de renseignement d'un pays et vendue au gouvernement d'un autre pays pour environ quarante millions de dollars par déploiement de spectre complet.
La technologie continue de fonctionner, le marché continue de croître, le dossier n'est pas fermé.
Fragment Zero suivra le dossier de l'affaire.
Le dossier de l'affaire ne se ferme pas, il attend.
