Tuer le messager ne tuera pas le message.

Projet Pegasus

Pegasus : révélations sur l'espionnage de masse du Maroc

Filatures, surveillance de cybercafés, logiciels espions : le Maroc a utilisé un arsenal de surveillance massif contre journalistes et opposants ces dernières années. Avec, en tête de proue, le spyware Pegasus, qui a été utilisé pour cibler notamment des chefs d’Etat ou de gouvernement étrangers. Forbidden Stories et ses partenaires racontent pour la première fois, grâce à des documents et témoignages inédits sur Pegasus, les coulisses de cette répression orchestrée par le renseignement intérieur marocain.

Crédit : Mélody da Fonseca

Nos révélations
  • Pour la première fois, un ancien agent de la DGST, le renseignement intérieur marocain, dévoile les coulisses de la surveillance de masse contre les journalistes et opposants au régime
  • Téléphones pré-infectés, espionnage de journalistes, infiltration de cybercafés : Forbidden Stories et ses partenaires ont eu accès à des documents internes inédits
  • Le consortium révèle les détails de l’utilisation du logiciel Pegasus, avec la publication de captures d’écran du logiciel
  • Forbidden Stories et ses partenaires publient les noms de plusieurs responsables de la DGST impliqués dans ces opérations

Par José Bautista, Eloïse Layan, Hicham Mansouri et Guillaume Vénétitay

16 juillet 2026

Omar Radi se rappelle d’un flic à la James Bond. « Il se prenait pas pour de la merde. Il posait deux questions, partait quatre heures, puis revenait avec deux questions », raconte le journaliste.

Avant de le cuisiner les policiers ont pris soin de récupérer ses affaires, dès le début de sa garde à vue, ce dimanche 5 juillet 2020 à Casablanca. Un objet en particulier les intéresse. « J’avais encore mon téléphone à la main. Ils me l’arrachent et disent: « on va l’éteindre nous-mêmes » ».

Ce smartphone était devenu une véritable obsession pour les services de sécurité marocains, occupés à surveiller Omar Radi depuis au moins 2017. Bien avant cette arrestation, son domicile avait été infesté de micros et de mini-caméras ; sa mère, ses amis et même son vendeur de cigarettes étaient eux-aussi suivis ou espionnés et sa Dacia Sandero noire était régulièrement prise en filature.

Une vie sous surveillance, que le journaliste a appris à déjouer : téléphone éteint lorsqu’il rencontre des sources, il n’hésite pas à raccrocher au nez de ses interlocuteurs dès qu’il a l’impression d’être écouté. « On ne trouvait rien sur Omar Radi. Rien.  Il était presque « ‘trop » précautionneux, ça nous a forcés à aller plus loin », confie Safir*, un ex-agent des renseignements marocains chargé de sa traque.

Le journaliste Omar Radi interrogé par notre consortium (Crédit : Amnesty International’s Security Lab). 

Alors, ce soir d’été, ils le placent en garde à vue à la sortie du Vertigo, un bar de Casablanca où il a ses habitudes. Verrouillé, son iPhone est inutilisable sans son empreinte digitale. Le téléphone file ensuite dans les bureaux des services de sécurité. Pour débloquer l’appareil, les policiers utilisent le logiciel Cellebrite, qui permet d’extraire toutes les données d’un smartphone et de les organiser dans une interface dédiée. 

 « J’étais sûr qu’ils étaient en train de travailler sur mon téléphone. Je me suis senti dans un film, un des films les plus pourris d’Hollywood », peste aujourd’hui Omar Radi. L’opération dure 1h45 et l’appareil redémarre en ne laissant aucune trace visible d’intrusion. Le reporter récupère son téléphone et est relâché au bout de 24 heures seulement, au lieu des 48 habituelles lors des gardes à vues au Maroc.

Le journaliste a ensuite enduré un calvaire judiciaire, avec une condamnation à six ans de prison en 2022 pour deux affaires totalement distinctes – « espionnage » et « viol » – alors qu’il enquêtait sur des expropriations foncières et l’enrichissement de proches de Mohammed VI, le roi du Maroc

Gracié en 2024, Omar Radi incarne l’acharnement de l’appareil sécuritaire contre les voix dissidentes. Le reporter a aussi été victime, comme l’ont révélé Amnesty International et le consortium Forbidden Stories en juin 2020, d’un des outils les plus emblématiques de la cybersurveillance : Pegasus, le logiciel espion qui aspire toutes les données d’un téléphone sans avoir besoin d’interagir avec le propriétaire de l’appareil. Une information qui a d’ailleurs amplifié la répression du Maroc à son égard.

« Pour Omar, on en est arrivé à Pegasus après avoir utilisé toutes les étapes d’écoute, chez lui ou dans sa voiture. C’est un procédé presque scientifique. Pegasus est le dernier outil, l’un des plus puissants », indique Safir, l’ancien agent de la Direction générale de la Surveillance du territoire (DGST), le renseignement intérieur marocain. Impliqué dans des opérations contre Omar Radi et d’autres journalistes ou défenseurs des droits humains, il a fini par fuir son pays.

Dans les secrets de la surveillance de masse

Aujourd’hui, il offre pour la première fois une plongée dans les secrets de la surveillance de masse opérée par l’État marocain, et le recours au logiciel espion Pegasus, ce que le Royaume a toujours nié. Son témoignage, inédit, a été confirmé par d’autres sources au sein de l’appareil sécuritaire et par des documents internes au régime. Le recueil de son récit a été initié par Hicham Mansouri, journaliste d’investigation marocain en exil et cofondateur de la plateforme Hawamich.info.

Le journaliste Hicham Mansouri interrogé par notre consortium (Crédit : Amnesty International’s Security Lab). 

Victime lui-aussi du logiciel Pegasus, il a enquêté pendant plusieurs années sur les opérations des services secrets marocains, avant de s’associer à Forbidden Stories – dont la mission est de poursuivre le travail de journalistes tués, emprisonnés ou menacés -, le Security Lab d’Amnesty international et treize médias internationaux. Le consortium a aussi eu accès, via diverses sources, à des documents internes aux renseignements marocains, mais également à des données liées à NSO, la société israélienne fabricante de Pegasus. Nous publions des images inédites de l’interface de ce logiciel espion.

Cinq ans après la publication du Projet Pegasus, Forbidden Stories et ses partenaires révèlent de nouveaux éléments sur le logiciel espion à la notoriété mondiale, ainsi que sur son utilisation par le Maroc pour surveiller et réprimer, à l’intérieur de ses frontières comme en dehors.

« Comme si quelqu'un était entré dans mon intimité »

Dans les données internes de la DGST, le dossier porte le nom d’opération : « Op S6_Edge  ». Dans un fichier daté  de 2017, un homme vêtu d’un pull noir configure un téléphone portable. Il apparaît ensuite parfois allongé sur son lit, parfois avec des membres de sa famille. Sur une autre photo : une boite d’un smartphone neuf, tout juste déballé. Un Samsung Galaxy S6 Edge.  « À l’époque, ce téléphone était très en vogue. Nous en avons acheté une cinquantaine et nous les avons infectés [par des logiciels espions (autres que Pegasus, ndlr)] », explique Safir, l’ex-agent de la DGST.

Les agents du renseignement les fournissent ensuite à des boutiques de téléphonie dans la région du Rif, où les manifestations contre la corruption et pour plus de justice sociale s’enchaînent depuis la fin de 2016. Ces commerçants vendent ces smartphones pré-infectés à des militants du mouvement de protestation, souvent à bas prix. Seul bémol : le logiciel espion, supposé être invisible, pompe la batterie de certains appareils.

« J’ai dû changer deux fois de batterie ! » se rappelle aujourd’hui Sofiane (nom d’emprunt), l’homme en pull noir sur les clichés de la DGST. Forbidden Stories et ses partenaires ont retrouvé celui qui a été espionné il y a désormais neuf ans, et qui a demandé à rester anonyme. Alors engagé politiquement, il s’occupait des comités d’organisation des manifestations dans sa ville.

Il a par ailleurs été arrêté à plusieurs reprises. « Les photos de moi que vous me montrez, c’est la première fois que je les vois. Alors oui, c’est comme si quelqu’un était entré dans mon intimité.» déclare Sofiane.  Il confirme que son téléphone était neuf, un cadeau qu’on venait de lui offrir.

La DGST utiliserait aussi, selon Safir, un opérateur pour que certaines cibles aient un accès à internet illimité : l’extraction des données ne doit pas exploser leur forfait et éveiller leurs soupçons.

Dans le même temps, les renseignements intérieurs marocains visent aussi les cybercafés. Parmi les documents internes obtenus par notre consortium : une photo d’une petite enseigne à la devanture verte, et des dizaines de pages internet consultées par des clients. « Nous avons infecté tellement de cybercafés. Nos agents de terrain nous indiquaient celui qui était fréquenté par la cible, et nous pouvions comme ça surveiller toutes ses activités » raconte Safir.

Photo obtenue par le consortium d’un cybercafé infecté. 

Le spyware utilisé à l’époque est le Remote Control System (RCS), commercialisé par l’entreprise italienne Hacking Team, basée à Milan. En interne, au sein de l’équipe R&D du moins, des tensions émergent à propos du client marocain. « On a commencé à faire part de nos inquiétudes. Pour moi, la ligne rouge a été franchie lorsque des personnes ont été jetées en prison et certaines torturées » se souvient un ancien employé de l’entreprise italienne, sous couvert d’anonymat

Autre problème, le Maroc pousse le système à ses limites : « ils essayaient d’extraire absolument tout ce qui se passait sur l’ordinateur des personnes qu’ils espionnaient : chaque fichier ouvert, littéralement tout », éclaire l’ancien employé de Hacking Team. « Mais si le logiciel est déployé sur des centaines de machines, une anomalie finira inévitablement par être signalée, et l’antivirus finira par le détecter ». Memento Labs, créée après le rachat de Hacking Team par IntheCyber group, a déclaré ne plus avoir de liens avec la DGST, ni avec les anciens clients de l’époque Hackin Team, et que toute l’équipe a changé en interne depuis ce rachat.

La révolution Pegasus

Cette frénésie, la DGST la déporte sur un autre logiciel à partir de la fin d’année 2017. Aux mois d’août et de septembre, les ingénieurs et espions assistent à une démonstration de Pegasus, conçu par la société israélienne NSO. Un produit révolutionnaire, qui apparaît comme l’arme absolue pour les services. « L’argument de vente, c’était l’infection silencieuse, sans intervention physique », explique Safir.

Après avoir passé des années à configurer des infections via RCS et à se rendre sur le terrain, les agents du renseignement intérieur n’ont plus forcément besoin de sortir de leur bureau. NSO fournit une console accessible en ligne, sur un serveur local, qui permet à ses clients de gérer le système ainsi qu’une grande confidentialité pour chaque infection.

L’interface de Pegasus rend son utilisation d’une simplicité déconcertante. Pour la première fois, notre consortium en publie des captures d’écran. Elles proviennent du Panama, qui a acquis le logiciel en 2014. Ces images ont été obtenues par le journaliste Luis Esquivel, du média Codigo Morse, qui a participé à l’enquête et travaille depuis plusieurs années sur le sujet. Après avoir été la cible de menaces et craignant pour sa sécurité, le reporter – membre du Safebox Network de Forbidden Stories – a dû quitter le Panama. 

Les captures d’écran récupérées par Luis Esquivel corroborent les schémas esquissés de mémoire par Safir, qui se souvenait aussi du logo au cheval ailé de la mythologie grecque, figurant aussi comme icône du fichier d’installation du logiciel. Une brochure de NSO de 2013, fuitée lors du piratage des e-mails de Hacking Team, contient aussi des photos similaires de l’interface. Des versions plus récentes du dashboard et des infections figurent aussi dans le dossier judiciaire WhatsApp Inc. v. NSO Group Technologies Limited (4:19-cv-07123), qui contient de la documentation interne au Groupe NSO et à certains de ses clients.

Crédit : Luis Esquivel / Codigo Morse

En haut de l’écran, une dizaine d’onglets « appels », « messages », « localisation », « contacts », « applications » ou encore « photos ». Un clic sur « appels » permet de faire apparaître tout le journal d’appel de la victime du logiciel. La page « Commandes » donne la possibilité d’activer le micro et d’enregistrer la cible à un moment voulu – lors d’une rencontre avec une source pour un journaliste, par exemple – ou d’envoyer une capture d’écran de l’appareil. « Dès qu’ils ont su qu’il y avait Pegasus, ils l’ont choisi car c’est facile. Et la DGST a toujours préféré le chemin facile », affirme Safir.

Tellement facile que le Maroc devient très vite addict au logiciel de NSO, capable d’infecter un téléphone par une attaque « zéro clic ». Plus besoin de cliquer sur un lien, la cible peut être infectée par un simple appel manqué. D’après les données obtenues lors du Projet Pegasus, le Royaume aurait ciblé près de 13 000 numéros à lui seul (le consortium n’est néanmoins pas en mesure de dire combien de cibles ont été réellement infectées, certaines cibles ayant pu être entrées dans la base à titre de test, pour vérifier leur vulnérabilité ; Shalev Hulio, cofondateur de NSO, a indiqué au consortium que « plusieurs assertions centrales du Projet Pegasus 2021 » étaient « factuellement incorrectes et simplement fausses »).

Le logiciel répond à la demande démesurée des services. À l’intérieur de la DGST, un département est en charge des infections par spyware. Son chef : Abdeljalil Taki, un homme aux lunettes noires, fine moustache, qui peut être aperçu une fois l’an à Strasbourg aux réunions de la Convention sur la cybercriminalité (T-CY), du Conseil de l’Europe. Présenté comme « Commissaire de Police », il fait partie de la délégation du Royaume lors de tables rondes garantes d’une Convention qui rappelle par ailleurs « le droit à ne pas être inquiété pour ses opinions, le droit à la liberté d’expression ». Questionné sur la présence de Taki à ces réunions, le Conseil de l’Europe a répondu que « la sélection des participants » à ces réunions relève de « la seule responsabilité des autorités marocaines ».

Dès le 10 Septembre 2017, Abdeljalil Taki et Amine Labbardi (le chef informaticien du département selon Safir) ont testé le logiciel espion sur leur propre téléphone : leurs numéros marocains ont d’ailleurs été identifiés dans la liste des téléphones ciblés par Pegasus, obtenue par Amnesty International et Forbidden Stories en 2021. Une opération qu’ils reproduisent à plusieurs reprises : le téléphone de Labbardi est testé 26 fois entre 2017 et 2019, probablement lors de nouvelles démonstrations ou pour tester d’autres fonctionnalités du logiciel. 

Au total, notre consortium a identifié huit numéros de téléphones marocains de cinq agents de la DGST dans la liste. Notamment deux d’un autre directeur, d’Abdelaziz Brachmi.  « Ça coûte des millions d’euros. Alors, forcément, ils ont dû vérifier avec leurs téléphones personnels (…) Parce qu’ensuite, ils font des rapports à Raji  ».

Cibles de haut niveau

Mohammed Raji est l’une des personnalités les plus importantes de la DGST. Il est l’architecte du programme d’espionnage téléphonique du Maroc, déjà qualifié de « “Monsieur écoutes” du roi » dans un article du journal Le Monde paru en 2025. Sur une photo de groupe des renseignements marocains prise en 2018, il apparaît au premier plan, directement à la gauche du roi. Haut cadre de la DGST, il a été vu en voyage avec Abdellatif Hammouchi, le puissant patron du renseignement intérieur, comme en avril dernier en Suède, dans le cadre d’un partenariat sécuritaire entre les deux pays. Hammouchi a par ailleurs été décoré de la Légion d’honneur, remise en juin 2025 par l’ambassadeur français à Rabat.

L’équipe de la DGST, dévolue au renseignement intérieur, s’occupe de viser les opposants internes. Sauf que la liste des numéros ciblés par le Maroc dépasse les frontières du Royaume chérifien. Parmi les potentielles victimes se trouvent des chefs d’état ou de gouvernement, comme le président français Emmanuel Macron ou Charles Michel, Premier ministre belge ; des journalistes étrangers, à l’instar d’Edwy Plenel et Lénaïg Bredoux de Mediapart ; des figures du rival et voisin algérien comme Saïd Chengriha, chef d’Etat-major. « Mais seule la DGST a accès à Pegasus », rappelle Safir. Une information confirmée par un ancien agent du renseignement marocain.

Pour ces cibles étrangères de haut niveau, la DGST devient un simple exécutant, qui reçoit,  selon Safir, les requêtes de Fouad Ali El Himma, le conseiller le plus influent de Mohammed VI (une information que nous n’avons pas pu vérifier de manière indépendante). Ami d’enfance de ce dernier, l’homme a créé le « Bureau 21 », situé près de l’ambassade d’Égypte selon trois sources différentes, où se claquemurent les secrets les mieux gardés du Royaume.

Le lieu est aussi un rouage essentiel dans la demande d’espionnage de numéros étrangers, selon Safir et un autre ancien des services secrets marocains. Les informations récupérées sur les cibles, pour les personnalités les plus sensibles, remonteraient à El Himma ou au roi lui-même.

Depuis les révélations du Projet Pegasus, en 2021, le Royaume a toujours nié avec véhémence l’utilisation du logiciel espion. En plus des révélations de cette première enquête, une nouvelle analyse technique effectuée par Amnesty Security Lab confirme que le même ensemble de comptes Apple utilisés pour infecter des journalistes et activistes marocains a aussi ciblé des journalistes français et des hommes politiques français et espagnols. En France, des examens techniques de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), que Forbidden Stories a pu consulter, ont aussi retrouvé les mêmes comptes et adresses emails. Ce qui met un peu plus à mal la défense du Maroc et prouve que le royaume chérifien est derrière les attaques contre des cibles étrangères, notamment de haut rang.

La relation diplomatique entre la France et le Maroc, elle, est pourtant de nouveau au beau fixe. Le désamour a duré trois ans. Jusqu’à la reconnaissance par Emmanuel Macron de la « souveraineté marocaine » sur le Sahara occidental, revendiqué par les indépendantistes du Front Polisario, soutenus par le rival algérien. Elle a balayé les mots âcres – le président français aurait traité, en privé, le roi de « voyou » -, la réduction du nombre de visas octroyés par Paris aux Marocains, ou unerésolution critique du Royaume votée au Parlement européen sous l’impulsion des députés macronistes.

Pour Omar Radi et les victimes de la surveillance et de la répression marocaine, il reste les réflexes – les regards furtifs derrière l’épaule dans la rue, les numéros qu’on change chaque année -, le dégoût de la prison, et une sensation de gâchis.

« Pourquoi on suit quelqu’un dans sa tournée des bars un samedi ? Pourquoi on met des ressources incroyables dans des stupidités ? » demande le journaliste, récemment débouté de sa demande de constitution de partie civile dans le volet judiciaire français, ouvert à la suite de la plainte de plusieurs victimes de Pegasus. « Suivre les gens, chercher dans leur poubelle… Quel sens ça donne à un officier, dans sa propre vie ? Alors que je suis sûr qu’il doit autant aimer le pays que moi. Et je crois qu’ils finissent par détester ce qu’on leur demande. Et peut-être même au final, leur pays ». En creux, Safir donne un écho presque plus sombre à ce que la DGST fait de ses hommes : « Les gens avec qui j’ai travaillé n’ont pas d’humanité. Il y a une liberté d’espionnage inimaginable. Ils deviennent des monstres froids ».

Le Royaume du Maroc, la DGST et ses agents, NSO ainsi que les autorités israéliennes n’ont pas répondu à nos questions

À lire aussi

pegasus-project__3
cover
forbidden_stories_PEG_illugabon_v01