- Temps de lecture: 10 min.
Nom de code “Morgan” : retour sur l'acquisition de Pegasus par le Maroc, entre Israël et les Emirats Arabes Unis
Entre des formations à Rabat dans une villa tenue secrète et à Herzliya dans les locaux de NSO, Forbidden Stories et ses partenaires reviennent sur les prémices de l’utilisation de Pegasus par le Maroc. Le consortium a aussi remonté la piste d’un attelage à première vue improbable entre la société israélienne NSO, le Maroc et un intermédiaire émirati, dont la société mère est aujourd’hui directement financée par l’Etat du Golfe. Une relation qui remonte au plus haut niveau des trois Etats.
Crédit : Mélody da Fonseca
- Des démonstrations du logiciel espion Pegasus par des représentants de NSO se sont tenues à Rabat en 2017.
- « Morgan » est le nom de code utilisé par le groupe NSO pour désigner l’utilisateur marocain.
- Le Maroc serait passé par un intermédiaire émirati pour son utilisation du logiciel précédemment utilisé par le Maroc pour d’autres solutions d’espionnage.
- Shalev Hulio, l’un des cofondateurs de NSO, a voyagé avec un passeport diplomatique israélien, confirmant les liens étroits entre l’Etat hébreu et la firme.
Par José Bautista, Eloïse Layan, Hicham Mansouri et Guillaume Vénétitay
14 juillet 2026
Il y a des endroits au Maroc presque aussi secrets que le palais royal de Rabat.
À quelques encablures de l’avenue Mehdi Ben Barka et de l’ambassade du Canada, la capitale marocaine abrite la « Villa FSSYS », comme la surnomment les agents du renseignement intérieur marocain (DGST). Fin 2017, c’est ici que les espions du roi découvrent un nouveau logiciel aux propriétés stupéfiantes : Pegasus.
Durant dix jours, les hommes du renseignements assistent dans cette villa aux démonstrations des employés de NSO, la société israélienne derrière ce mouchard révolutionnaire. Pour convaincre les agents de la DGST, ils ont ramenés quelques téléphones portables. Devant les plus hauts gradés des services secrets marocains, ils infectent ces appareils. Activation de la caméra à distance. Puis, du micro. En un clic, ils aspirent toutes les données, sans oublier d’accéder aux SMS.
Autour de la grande table du rez-de-chaussée, les marocains sont impressionnés. « Du jamais vu auparavant. Les attaques de NSO étaient merveilleuses. Ils exploitaient les failles des systèmes Android (…) et IOS. En 2017, il fallait que la cible clique sur un lien. Plus tard en 2019, il suffisait d’un simple appel anonyme : en l’espace de cinq secondes, le téléphone était infecté » se souvient Safir* (le prénom a été modifié), un ex-agent la DGST. Selon lui, Pegasus est « l’arme du monstre ».
Safir s’est rendu dans cette villa à plusieurs reprises. La-bas, il y a souvent croisé un « beau gosse », agissant comme le maître des lieux, introduisant les uns aux autres sans pour autant assister à ces réunions des plus confidentielles. « J’ai rencontré Wassim plusieurs fois là-bas », remet l’ancien des renseignements – des rencontres que nous n’avons pas été en mesure de confirmer indépendamment. De nationalité marocaine, le dénommé Wassim F. est un spécialiste de la cybersécurité et des télécommunications, extérieur à la DGST. Il travaille à cette époque pour FSSYS Maroc – d’où le surnom de la villa -, la branche marocaine d’une société basée aux Émirats arabes unis, le groupe Al Fahad.
Un logiciel israélien, une société émiratie, le renseignement intérieur marocain : drôle de trio. Le témoignage inédit de Safir, corroboré par des sources sécuritaires marocaines, européennes et complété par des sources au sein du monde de la cybersécurité, raconte une histoire que les protagonistes ont longtemps cherché à cacher ou nier. Le Maroc a bien massivement utilisé le logiciel Pegasus, dont la société est étroitement liée au sommet de l’Etat israélien. Selon Safir, le Royaume aurait réussi à avoir accès au logiciel grâce aux Émirats arabes unis et cette société, FSSYS Maroc, une information que le consortium n’a pas pu vérifier indépendamment
« Un intermédiaire, ça ne laisse pas de traces, convient Safir. Et certaines transactions ne peuvent pas être faites directement par des services de renseignement ».
En 2017, le pacte entre ces trois pays n’allait pas de soi. Le Maroc et les Émirats arabes unis ont normalisé leurs relations avec Israël seulement à la fin de l’année 2020, avec la signature des accords d’Abraham. Cinq ans après les premières révélations du Projet Pegasus, Forbidden Stories et ses partenaires dévoilent les dessous de cette relation opaque, nouée autour de ce logiciel espion, et étayée par des documents exclusifs démontrant le lien étroit entre NSO et l’État d’Israël.
Une relation de longue date
Pour comprendre ce deal présumé entre les trois parties, il faut naviguer à travers une galerie de personnages, parfois sans visages ou seulement reliés à une adresse mail ou un document tiré d’un registre du commerce.
Wassim F., l’homme identifié par Safir et une autre source sécuritaire comme comme un maillon dans le dispositif permettant au Maroc d’utiliser Pegasus, n’apparaît pourtant pas sur les documents marocains de FSSYS. Sa présence en ligne est minimale en dehors de plusieurs publications comme chercheur en cybersécurité pour l’Institut National des Postes et des Télécommunications de Rabat.
« S’il y a une mise à jour du logiciel, la DGST doit appeler Wassim par exemple, explique Safir. Pour te hacker, en revanche, je ne vais pas demander l’autorisation à Wassim, mais on va l’aviser après, car il doit faire un rapport aux Emiratis. » Un autre ancien des services de renseignement confirme le rôle de comptable de Wassim, chargé de faire remonter le nombre d’infections, afin d’établir le montant des factures. L’intermédiaire serait aussi l’interlocuteur privilégié du bureau de Fouad El Himma, le puissant conseiller de Mohammed VI, pour les cibles de haut niveau, à l’instar des chefs de gouvernements étrangers.
Joint par téléphone, Wassim F. a déclaré avoir été un « simple employé » de FSYSS Maroc, et ne rien savoir des relations avec la DGST et du logiciel Pegasus.
La relation entre FSSYS Maroc et la DGST remonte quelques années avant l’utilisation de Pegasus. Dans des leaks datant de 2015 et issus de la société italienne Hacking Team, éditrice du logiciel espion RCS, la relation est claire : la DGST a déjà recours à FSSYS pour se doter de RCS. Dans ces documents, le service de renseignement est désigné comme « utilisateur final au Maroc ». Pendant plusieurs années, la DGST a ainsi abusé du système RCS pour cibler des opposants politiques et journalistes, (cf article 1).
Dans ces courriels, le rôle de FSSYS Maroc – soit Al Fahad – comme intermédiaire s’observe aussi dans les services rendus. FSSYS gère par exemple les invitations d’Abdeljalil Taki et d’Amine Labbardi, deux agents de la DGST – dont le rôle est essentiel dans le déploiement de Pegasus au Maroc – à l’ISS de Prague en 2013, le grand raout de la cybersécurité où grouillent les espions du monde entier.
Un ancien employé de Hacking Team, joint par Forbidden Stories, éclaire le rôle clé de l’intermédiaire dans le monde de la cybersurveillance : « Un intermédiaire, c’est plus qu’un courtier. Il gère l’intégralité du processus et vous garantit que l’utilisateur final est une entité autorisée, c’est à dire une entité gouvernementale. » Al Fahad Smart Systems règle aussi les factures, adressées au siège à Abu Dhabi : environ 160 000 euros de coûts de maintenance en 2012, 2013 et 2014 selon la fuite de données d’Hacking Team.
Qui a payé ?
Dans la relation DGST – FSSYS- NSO, les États apparaissent parfois clairement, parfois en filigrane. Le groupe Al Fahad, la maison mère de FSSYS Maroc, fondé en 2005 par Khalid Obaid Al-Ali, a été intégré au conglomérat Etimad, lui-même acquis il y a trois ans par Edge, le plus grand groupe de défense et d’aérospatial du pays, détenu par le gouvernement des Émirats arabes unis.
Reste la question du rôle exact joué par les Emiratis : sont-ils seulement des intermédiaires ? Ou ont-ils un rôle financier ? Autrement dit, payent-ils pour que le Maroc utilise Pegasus ? C’est cette deuxième hypothèse qui court dans les couloirs de la DGST : « Des millions, ce n’est rien pour les Emiratis. Ils l’ont acheté et l’ont redistribué aux services amis. Tu peux dire que c’est comme Netflix : un ami paie l’abonnement, et les autres utilisent son compte », image Safir. Deux autres sources sécuritaires et diplomatiques, proches du Maroc et des Émirats, penchent elles aussi vers cette option. Un ancien employé de NSO et une deuxième source au sein de l’industrie ont néanmoins déclaré au consortium ne pas être au courant de paiements réalisés par les Emirats arabes unis pour le Maroc. Une chose est sûre, avoir accès à Pegasus coûte très cher. Le chiffre varie en fonction des clients et du nombre de numéros à infecter. Pour donner un exemple des tarifs pratiqués par NSO, le consortium publie pour la première fois une lettre de la société israélienne adressée à un gouvernement – en l’occurrence celui de la République du Panama – et un montant. Ce document a été obtenu par Luis Esquivel, un journaliste panaméen du média Codigo Morse. Selon cette lettre signée de « Shalev Holy » (Shalev Hulio, cofondateur et PDG de NSO), la commande 2012.30 , passée le 3 juillet 2012, a été suivie de « l’installation du système Pegasus à Panama City après la réception d’un virement de 8 millions de Dollars ».
Lettre de la société israélienne NSO adressée au gouvernement du Panama (Crédit : Luis Esquivel / Codigo Morse)
Ce montant équivaut à 300 cibles simultanées (150 sur Android, 150 sur BlackBerry). D’autres traces de paiement virés à NSO figurent sur des extraits de compte en banque de la société intermédiaire. Le deal peut être mis en perspective avec le nombre de cibles potentielles – un peu plus de 13 000 – attribuées à l’utilisateur marocain, selon la liste obtenue il y a cinq ans par Forbidden Stories et Amnesty International. Il est néanmoins possible que sur ces 12 000 numéros, tous n’aient pas été au final infectés (certains rentrés dans la base à titre de “test” pour vérifier leur vulnérabilité), et que les numéros surveillés simultanément aient alterné au fil des mois. Ce qui pourrait réduire la facture.
Aucune somme n’a circulé pour le Maroc. Et l’identité du payeur final reste une énigme.
Nom de code Morgan
Le nom de Shalev Hulio revient dans un autre document obtenu par Luis Esquivel, qui vient mettre en lumière les liens étroits entre NSO et l’Etat d’Israël. Quand il débarque au Panama, le 3 décembre 2013, le cofondateur de la société présente un passeport diplomatique, comme l’atteste sa fiche d’information remplie par les services de l’immigration du pays d’Amerique centrale. Lors de son séjour, il déclare loger à l’ambassade d’Israël à Panama City. Un passe-droit qui interroge sur les privilèges dont a bénéficié Hulio, d’autant que son nom n’apparaît pas sur la liste des détenteurs de passeports diplomatiques publiés cette année-là par le ministère des Affaires étrangères israéliens, suite à la demande du Movement for Freedom of Information. Ces passeports diplomatiques sont normalement réservés, selon Tel Aviv, aux hauts responsables, aux émissaires de l’Etat en mission à l’étranger, aux membres de la Knesset – le parlement israélien – et aux personnes effectuant des missions jugées nécessaires à la sécurité nationale. S’il n’a pas répondu aux nombreuses questions envoyées par le consortium, en revanche Shalev Hulio a démenti catégoriquement avoir possédé un passeport diplomatique.
Ce n’est pas la seule fois où le gouvernement israëlien s’est montré des plus prévenant envers NSO. Une fuite de données du ministère de la justice, partagée par DDoSecrets avec Forbidden Stories en 2024, révélait déjà les mesures de protection mises en œuvre pour protéger l’entreprise de cybersurveillance. Dans le cadre de la plainte qui oppose Meta – via sa filiale WhatsApp – à NSO, le gouvernement de l’État hébreu a ordonné, à l’été 2020, une saisie préventive de documents dans les bureaux de la firme. Ils pouvaient contenir des secrets d’État.
Et quand les responsables de NSO sont confrontés à un juge étranger, ils verrouillent leur communication à triple tour. Entendu le 29 janvier 2026 par la justice française dans le cadre de l’enquête ouverte après la plainte de plusieurs victimes de Pegasus, Shalev Hulio a rétorqué onze fois aux magistrats qu’il n’était pas autorisé à répondre « en vertu de la loi israélienne », selon un document consulté par le consortium. Notamment quand il est interrogé sur la liste des États ayant acquis Pegasus. Relancé à la question suivante sur le cas spécifique du Maroc, Hulio s’est une nouvelle fois retranché derrière la législation de son pays, avant d’ajouter : « Je sais que le Maroc a nié l’avoir acheté ».
Le fondateur et directeur de NSO Shalev Hulio (au centre), avec Eyal Blum et Ramon Eshkar, dans le district d’Arava district, en Israël. (Crédit : Ministry for the Development of the Periphery, the Negev and the Galilee).
Mais les preuves s’accumulent. Plusieurs sources au sein de l’industrie de la cybersurveillance ont, par exemple, confirmé que le Maroc répondait, chez NSO, au nom de code Morgan. Un classique, les premières lettres du pays étant régulièrement réutilisées dans les alias pour le logiciel Pegasus, et les noms de code reprenant généralement des marques de voiture. « Morgan » figure par ailleurs comme le nom d’un client du groupe, dans un document issu du procès de WhatsApp contre NSO aux Etats-Unis.
Les dénégations du royaume chérifien sur son utilisation de Pegasus font doucement rire un ancien de NSO, qui balaie l’argument d’un simple : « Bullshit (foutaises, NDLR)» au téléphone. Une connaissance de Shiri Dolev, présidente de NSO, déclare aussi que la direction aurait même été en contact avec le client marocain après la publication du Projet Pegasus et les abus du logiciel par le pays.
En France, une note de la Direction générale de la sécurité extérieure (DGSE), datée du 26 décembre 2022 et versée au dossier judiciaire, confirme que le renseignement extérieur français « connaît 38 pays acheteurs de la solution Pegasus ». Surtout, ce document, révélé par Mediapart et consulté par le consortium, précise que « les Émirats arabes unis et le Maroc ont utilisé, au moins depuis 2017, des produits de NSO ». Les deux pays, contrairement aux autres, sont étonnamment présentés dans la même phrase, ce qui semble renforcer un peu plus l’hypothèse d’un tandem. La même note « estime hautement probable que NSO, et éventuellement Israël, connaissent les téléphones ciblés par son outil, voire les données qui en sont exfiltrées. » Une manière de dire qu’il n’y aurait pas de secrets trop bien gardés entre Israël, le Maroc et les Émirats arabes unis.
Suite aux révélations du Projet Pegasus, le trio a revu son mode de fonctionnement. Les dernières traces d’infection par le logiciel au Maroc datent de novembre 2021, selon Amnesty International Security Lab. Israël a, semble-t-il, revu ses conditions d’exportations, limitant les pays vers lesquels les logiciels espions pouvaient être exportés. Une ambiance de fin de règne dont témoigne Safir. « En 2022, des entreprises venaient présenter leurs produits à la DGST, car des rumeurs circulaient selon lesquelles NSO était hors jeu. C’était une situation similaire à celle de 2017 avec Hacking Team », témoigne l’ancien employé de la DGST. Selon lui, plusieurs entreprises auraient été dirigées vers les services marocains par FSSYS Maroc, dont une firme fondée par deux autres anciens de NSO. Nouvelles règles, mêmes joueurs.
Les autorités du Maroc, d’Israël, des Emirats arabes unis, la DGST, Etimad/Edge n’ont pas répondu à nos questions Now.
Crédit : Google maps / Capture d’écran Forbidden Stories
À lire aussi