Deux autres journalistes européens ont été piratés à l'aide du logiciel espion israélien Graphite de Paragon

Après que WhatsApp ait informé 90 utilisateurs européens ciblés

Deux autres journalistes européens ont été piratés à l'aide du logiciel espion Graphite de Paragon fourni par le gouvernement israélien, après que WhatsApp ait informé 90 utilisateurs européens ciblés

Le groupe de défense des droits numériques The Citizen Lab a publié un nouveau rapport détaillant les résultats d'une nouvelle enquête forensique sur les iPhones du journaliste italien Ciro Pellegrino et d'un journaliste européen « éminent » dont le nom n'a pas été divulgué. Les chercheurs ont déclaré que les deux journalistes avaient été piratés par le même client de Paragon, sur la base des preuves trouvées sur les appareils des deux journalistes.

En 2023, certains gouvernements ont interdit l’utilisation du logiciel espion Pegasus, développé par la société israélienne NSO Group. Pegasus est un logiciel qui exploite des failles de sécurité inconnues des smartphones modernes (appelées zero-day) pour infecter ces derniers à distance, sans aucune action de la part de la victime. Pegasus peut ensuite accéder aux données personnelles de l’utilisateur, y compris celles qui sont chiffrées par des applications comme Signal ou WhatsApp. Malgré cette interdiction, des gouvernements utiliseraient un logiciel espion très similaire nommé Graphite. Graphite aurait les mêmes capacités que Pegasus et serait même utilisé par l’agence américaine de lutte contre la drogue (DEA) pour combattre les cartels de la drogue au Mexique.

Une nouvelle étude a confirmé que deux journalistes européens ont été piratés à l'aide d'un logiciel espion gouvernemental développé par le fournisseur israélien de technologies de surveillance Paragon. Récemment, le groupe de défense des droits numériques The Citizen Lab a publié un nouveau rapport détaillant les résultats d'une nouvelle enquête forensique sur les iPhones du journaliste italien Ciro Pellegrino et d'un journaliste européen « éminent » dont le nom n'a pas été divulgué. Les chercheurs ont déclaré que les deux journalistes avaient été piratés par le même client de Paragon, sur la base des preuves trouvées sur les appareils des deux journalistes.

Jusqu'à présent, rien ne prouvait que Pellegrino, qui travaille pour le site d'information en ligne Fanpage, avait été ciblé ou piraté à l'aide d'un logiciel espion de Paragon. Lorsqu'il a été alerté par Apple fin avril, la notification faisait référence à une attaque par un logiciel espion mercenaire, mais ne mentionnait pas spécifiquement Paragon, ni si son téléphone avait été infecté par le logiciel espion. La confirmation des toutes premières infections connues par Paragon aggrave encore le scandale actuel lié aux logiciels espions qui, pour l'instant, semble principalement concerner l'utilisation de logiciels espions par le gouvernement italien, mais pourrait s'étendre à d'autres pays européens.


Ces nouvelles révélations interviennent plusieurs mois après que WhatsApp ait informé pour la première fois environ 90 de ses utilisateurs dans plus d'une vingtaine de pays en Europe et au-delà, dont des journalistes, qu'ils avaient été ciblés par le logiciel espion Paragon, connu sous le nom de Graphite. Parmi les personnes ciblées figuraient plusieurs Italiens, dont le collègue de Pellegrino et directeur de Fanpage, Francesco Cancellato, ainsi que des travailleurs à but non lucratif qui aident à secourir les migrants en mer.

Pourtant, ce mois de juin 2025, la commission parlementaire italienne COPASIR, qui supervise les activités des agences de renseignement du pays, a publié un rapport indiquant qu'elle n'avait trouvé aucune preuve que Cancellato avait été espionné. Le rapport, qui confirmait que les agences de renseignement internes et externes italiennes AISI et AISE étaient clientes de Paragon, ne mentionnait pas Pellegrino. Le nouveau rapport du Citizen Lab remet en question les conclusions de la COPASIR.

Pour rappel, fin 2024, WhatsApp a remporté une victoire historique contre le groupe NSO qui développe et commercialise le logiciel espion Pegasus. Un juge américain a estimé que le fabricant israélien de logiciels espions NSO Group avait enfreint les lois sur le piratage informatique en utilisant WhatsApp pour infecter des appareils avec son logiciel espion Pegasus. Le juge fédéral de Californie du Nord a tenu NSO Group pour responsable d'avoir ciblé les appareils de 1 400 utilisateurs de WhatsApp, violant ainsi les lois fédérales et nationales sur le piratage ainsi que les conditions d'utilisation de WhatsApp, qui interdisent l'utilisation de la plateforme de messagerie à des fins malveillantes.

Voici un extrait du rapport de The Citizen Lab :


Cas n° 1 : L'éminent journaliste européen

Le 29 avril 2025, ce journaliste a reçu une notification Apple et a sollicité une assistance technique. L'analyse forensique a conclu que l'un des appareils du journaliste avait été compromis par le logiciel espion Graphite de Paragon en janvier et début février 2025, alors qu'il fonctionnait sous iOS 18.2.1. Cette compromission à Graphite possède un haut degré de certitude, car selon l'analyse forensique, les journaux de l'appareil indiquaient qu'il avait envoyé une série de requêtes à un serveur qui, pendant la même période, correspondait à l'empreinte digitale P1 que The Citizen Lab a publiée. Les chercheurs ont établi un lien entre cette empreinte digitale et le logiciel espion Graphite de Paragon avec un haut degré de certitude.

Le serveur semble avoir été loué auprès du fournisseur de VPS EDIS Global. Le serveur est resté en ligne et a continué à correspondre à l'empreinte digitale P1 jusqu'au 12 avril 2025 au moins.


Les chercheurs ont identifié un compte iMessage présent dans les journaux de l'appareil à peu près au moment où le téléphone communiquait avec le serveur Paragon., qu'ils ont nommé ATTACKER1. Sur la base de l'analyse forensique, ils ont conclu que ce compte a été utilisé pour déployer le logiciel espion Graphite de Paragon à l'aide d'une attaque sophistiquée iMessage zero-click. Apple a confirme que l'attaque zero-click déployée a été atténuée à partir de la version iOS 18.3.1 et a attribué le CVE-2025-43200 à cette vulnérabilité zero-day.

Cas n° 2 : Ciro Pellegrino

Ciro Pellegrino est journaliste et responsable de la rédaction de Fanpage.it à Naples, où il a couvert de nombreuses affaires médiatisées. Le 29 avril 2025, Pellegrino a reçu une notification d'Apple et a sollicité une assistance technique.

Les chercheurs ont analysé les artefacts provenant de l'iPhone de Pellegrino et ont déterminé avec un haut degré de certitude qu'il avait été ciblé par le logiciel espion Graphite de Paragon. L'analyse des journaux de l'appareil a révélé la présence du même compte iMessage ATTACKER1 que celui utilisé pour cibler le journaliste du cas n° 1.


Il est courant que chaque client d'une société de logiciels espions mercenaires dispose de sa propre infrastructure dédiée. Les chercheurs estiment que le compte ATTACKER1 serait utilisé exclusivement par un seul client/opérateur de Graphite, et que ce client a ciblé les deux personnes.

Le cluster Fanpage.it Paragon

Francesco Cancellato, proche collaborateur de Pellegrino et rédacteur en chef de Fanpage.it, a été informé en janvier 2025 par WhatsApp qu'il était la cible du logiciel espion Graphite de Paragon.

The Citizen Lab a procédé à une analyse forensique de l'appareil Android de Cancellato. Cependant, ils n'ont pu obtenir de confirmation forensique d'une infection réussie de l'appareil Android de Cancellato. Les chercheurs ont déclaré à l'époque : "Compte tenu de la nature sporadique des journaux Android, l'absence de BIGPRETZEL sur un appareil particulier ne signifie pas que le téléphone n'a pas été piraté avec succès, mais simplement que les journaux pertinents n'ont peut-être pas été capturés ou ont été écrasés." À la suite de l'affaire Cancellato, l'identification d'un deuxième journaliste de Fanpage.it ciblé par Paragon suggère une tentative de cibler cet organe de presse.

Déclarations de Paragon et du gouvernement italien

Le 5 juin 2025, la commission parlementaire italienne chargée de superviser les services de renseignement italiens (COPASIR : Comitato Parlamentare per la Sicurezza della Repubblica) a publié le rapport de son enquête sur l'affaire Paragon en Italie.

Le rapport reconnaît que le gouvernement italien a utilisé le logiciel espion Graphite de Paragon contre Luca Casarini et le Dr Giuseppe « Beppe » Caccia. Cependant, le rapport indique qu'il n'a pas été possible de déterminer qui aurait pu cibler Cancellato avec Graphite.

Le 9 juin 2025, Haaretz a rapporté que Paragon avait proposé d'aider le gouvernement italien à enquêter sur l'affaire Cancellato, une offre qui, selon eux, a été rejetée par le gouvernement italien. Paragon a également laissé entendre qu'il avait résilié unilatéralement les contrats avec l'Italie.

En réponse, plus tard dans la journée, le Département italien du renseignement de sécurité (DIS : Dipartimento delle Informazioni per la Sicurezza), qui coordonne les services de renseignement italiens, a déclaré avoir rejeté l'offre de Paragon en raison de préoccupations liées à la sécurité nationale, craignant que ses activités ne soient exposées à Paragon. Il a déclaré que fournir un tel accès à Paragon aurait un impact sur la réputation des services de sécurité italiens auprès de leurs homologues à travers le monde. Il a nié que la résiliation du contrat ait été unilatérale. Plus tard dans la journée, le comité COPASIR a déclaré qu'il avait choisi de ne pas donner suite à l'offre de Paragon, mais qu'il avait préféré interroger directement les bases de données de Paragon, estimant que les deux approches étaient équivalentes. Le comité a également déclaré qu'il était disposé à déclassifier le témoignage de Paragon devant le comité.

La crise des logiciels espions se poursuit en Europe : les journalistes en danger

Au moment de la publication du rapport de The Citizen Lab, trois journalistes européens ont été confirmés comme cibles du logiciel espion mercenaire Graphite de Paragon. Deux de ces confirmations sont désormais fondées sur des preuves forensique, et la troisième fait suite à une notification de Meta. À ce jour, aucune explication n'a toutefois été fournie quant à l'identité des responsables de l'espionnage de ces journalistes.

De plus, la confirmation d'un deuxième cas lié à un média italien spécifique (Fanpage.it) rend d'autant plus urgente la question de savoir quel client de Paragon est responsable de ce ciblage et en vertu de quelle autorité légale (le cas échéant) ce ciblage a eu lieu. L'absence de responsabilité des cibles de ces logiciels espions met en évidence la mesure dans laquelle les journalistes en Europe continuent d'être exposés à cette menace numérique hautement invasive, et souligne les dangers de la prolifération et de l'utilisation abusive des logiciels espions.

À propos de The Citizen Lab

Le Citizen Lab est un laboratoire interdisciplinaire basé à la Munk School of Global Affairs & Public Policy de l'Université de Toronto, qui se concentre sur la recherche, le développement et l'engagement stratégique et juridique de haut niveau à l'intersection des technologies de l'information et de la communication, des droits de l'homme et de la sécurité mondiale.

Source : The Citizen Lab

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Biden publie un décret exécutif qui interdit aux agences fédérales d'utiliser des logiciels espions commerciaux, après que des journalistes, des politiciens et d'autres personnes ont été des cibles

Les gouvernements demandent une réglementation sur les logiciels espions lors d'une réunion du Conseil de sécurité des Nations Unies, initiée par les États-Unis et soutenue par 15 autres pays

La France est sur le point d'adopter la pire loi de surveillance de l'UE : une porte dérobée dans WhatsApp, Telegram et Signal, une proposition de loi qui provoque la stupéfaction