La nouvelle «enquête» Pegasus de Forbidden Stories à l’épreuve du fact-checking

Laurent Richard, fondateur de Forbidden Stories.

Un universitaire établi en Europe, qui a requis l’anonymat, rompu au suivi des enquêtes de Forbidden Stories, a réagi à notre article sur Le360 relatif à la saison 2 de Pegasus, publié le 17 juillet. Son analyse très pertinente conforte notre article, mais l’enrichit de plusieurs arguments analytiques qui montrent de façon étayée les fragilités et les approximations de l’approche du consortium de Forbidden Stories. Nous livrons son excellente analyse telle quelle à l’appréciation de nos lecteurs.

Le 18/07/2026 à 18h40

Cette analyse évalue les failles de la démonstration proposée par Forbidden Stories, c’est-à-dire la robustesse de chaque maillon probatoire et sa vérifiabilité par un tiers.

La supposée enquête se fonde essentiellement sur des allégations qui reposent sur la seule parole du consortium, loin de la preuve matérielle et davantage dans le registre de l’inférence.

La conclusion générale, développée ci-dessous, est que l’enquête repose sur un faisceau hétérogène: plusieurs maillons non vérifiables indépendamment, et un socle humain central dont la nature interdit toute authentification externe. L’assemblage est incohérent et n’est pas, pris pièce à pièce, probant.

Une dernière partie examine les griefs formulés, ceux qui recoupent les fragilités relevées ici de ceux qui relèvent de la disqualification de l’émetteur.

Un socle humain unique non vérifiable

Le cœur du nouveau volet est le témoignage d’un supposé ancien agent de la DGST, désigné sous le pseudonyme de «Safir», recueilli par le militant en exil Hicham Mansouri. C’est la principale nouveauté par rapport à 2021, et c’est aussi le point le plus fragile de l’enquête.

Trois limites structurelles doivent être posées. La source est unique en son genre: un seul transfuge apporte le récit de l’intérieur. Le consortium indique l’avoir confronté à d’autres sources sécuritaires, mais celles-ci corroborent plutôt qu’elles ne dupliquent le témoignage central. La source est anonyme et prive le lecteur de tout moyen d’apprécier sa position réelle, son accès aux faits qu’il décrit, et ses éventuelles motivations. Enfin, une partie de ses affirmations les plus précises (notamment les rencontres avec l’intermédiaire présenté comme le rouage émirati du dispositif) est, de l’aveu même de Forbidden Stories, restée invérifiable de façon indépendante.

Cela tend à disqualifier le témoignage d’un prétendu transfuge unique et anonyme qui n’est pas, au sens strict, prouvable.

La distinction entre les documents exhibés et les documents invoqués est décisive pour juger la solidité de l’ensemble, et elle est nettement contestable.

La preuve visuelle exhibée sert d’autoconfirmation. Les captures d’écran de l’interface de Pegasus, que le consortium relie explicitement au dossier judiciaire américain WhatsApp Inc. v. NSO Group Technologies (4:19-cv-07123) est une pièce publique. Là, un tiers peut vérifier de façon autonome que l’outil décrit correspond à des éléments déjà versés dans une procédure. Ce point d’ancrage pose problème, car cette pièce ne correspond pas à un dossier marocain.

Les photographies présentées comme extraites des fichiers internes de la DGST (la boîte du Samsung Galaxy S6 Edge pré-infecté, un cybercafé sous surveillance, des clichés pris à l’insu des personnes) n’ont aucune valeur de preuve. On voit des images dont on nous dit qu’elles proviennent d’un dossier de la DGST, sans que leur provenance puisse être authentifiée autrement que par l’affirmation du consortium et la caution technique du Security Lab d’Amnesty. Un fact-checker extérieur ne peut ni vérifier la chaîne de possession, ni exclure d’autres origines.

Entre les deux se trouve la note de la DGSE. Forbidden Stories la présente non comme une fuite isolée mais comme une réponse du service extérieur français à une réquisition judiciaire datée du 8 novembre 2022, versée à l’instruction: le service y affirmerait que le Maroc et les Émirats utilisent des produits NSO depuis 2017 au moins. La production de cette pièce judiciaire comporte des incohérences: le consortium en cite une phrase sans en publier le fac-similé, et l’on relève au passage une incohérence de datation entre les reprises (8 novembre pour la réquisition selon le texte de Forbidden Stories, «26 novembre» dans certaines reprises secondaires). Enfin, le volet RCS/Hacking Team, qui documente l’antériorité supposée de la relation entre la DGST et l’intermédiaire, ne constitue pas une pièce neuve: c’est un corpus déjà public depuis 2015, mobilisé à nouveaux frais.

La solidité documentaire est donc vaseuse tant elle se base sur l’interface Pegasus (qui ne concerne pas le Maroc) et sur des assertions déclaratives et illustratives pour les fichiers DGST, et citationnelle pour la note DGSE.

La chaîne d’acquisition: un rouage humain fragile, un parapluie anachronique

L’enquête décrit un circuit d’acquisition passant par un intermédiaire émirati plutôt que par un achat direct auprès de NSO. Ce circuit se juge à trois niveaux de solidité très fragiles.

La structure d’intermédiation (FSSYS Maroc) est présentée comme la branche marocaine d’Al Fahad, société émiratie de technologies de surveillance, et cette relation avec la DGST est présentée comme antérieure à Pegasus: la fuite Hacking Team de 2015 affirmait déjà que la DGST acquérant le logiciel RCS via cet intermédiaire, désigné dans les documents comme «utilisateur final au Maroc». La facturation adressée à Abou Dhabi et l’invitation d’agents de la DGST à des salons de surveillance complètent un tableau adossé à des documents. Ce maillon, jamais authentifié, n’a aucun lien avec Pegasus.

Le rouage humain (la personne présentée comme organisant la relation Maroc-Émirats-NSO) et la remontée du nombre d’infections pour la facturation sont les points faibles de tout l’édifice. Son rôle repose sur deux sources humaines concordantes, mais Forbidden Stories reconnaît qu’il n’apparaît pas dans les documents de FSSYS, que sa présence publique se limite à quelques travaux académiques en cybersécurité, et que l’intéressé, joint, a nié tout rôle en se présentant comme un simple employé. C’est donc une allégation attribuée, non corroborée matériellement et démentie par le principal concerné.

Le rattachement capitalistique au groupe de défense émirati EDGE, souvent mis en avant, appelle une réserve chronologique dirimante. EDGE n’a été créé qu’en novembre 2019 et n’a absorbé la maison mère de l’intermédiaire qu’en juillet 2023, soit des années après les faits allégués (RCS dès 2012-2015, Pegasus à partir de 2017). Au moment des faits, l’intermédiaire n’appartenait donc pas à EDGE. Écrire ou laisser entendre qu’«EDGE a fourni Pegasus au Maroc» est une erreur factuelle: le parapluie EDGE est rétrospectif, et Forbidden Stories elle-même reste, sur ce point, au présent de description actionnariale. On notera aussi que le nom de code interne évoqué, «Op S6_Edge», renvoie au modèle de téléphone Samsung Galaxy S6 Edge utilisé dans une opération pré-Pegasus, et non au groupe EDGE: tout rapprochement entre les deux est une fausse piste.

Le volet technique et son statut judiciaire

Le versant forensique (les indices de compromission relevés par l’ANSSI sur les téléphones de plusieurs ministres, rapprochés de marqueurs déjà identifiés sur l’appareil de l’activiste Omar Radi) constitue l’ossature de l’accusation. Mais deux réserves en bornent la portée.

D’abord, la distinction, constante dans ce dossier depuis 2021, entre ciblage et infection avérée: une part des données documente des tentatives ou des sélections de cibles, pas nécessairement des compromissions confirmées appareil par appareil. Cette nuance, que les enquêteurs eux-mêmes rappellent, montre que la preuve de l’espionnage n’est jamais présentée.

Ensuite, et c’est le point le plus important pour jauger la solidité, le statut judiciaire des éléments techniques reste celui d’indices. L’instruction française ouverte depuis 2021 traite ces marqueurs comme des indices qui ne permettent pas, à ce stade et sur le plan judiciaire, d’attribuer formellement les attaques au Maroc. Seuls deux anciens responsables de NSO ont été placés sous statut de témoin assisté, aucune mise en cause formelle du Royaume n’a été prononcée. Autrement dit, la justice française, pourtant destinataire des mêmes éléments, n’a pas franchi le pas de l’attribution que la narration journalistique, elle, opère sans réserve. Cet écart entre le registre judiciaire (indices) et le registre éditorial («nouvelles preuves») est l’un des points les plus contestables des articles de Forbidden Stories.

Les 7 ministres: sujet réchauffé plutôt que révélation

La confirmation, par recoupement forensique, du ciblage de sept ministres ou anciens ministres est présentée comme un temps fort. Elle relève davantage du traitement réchauffé que de la découverte: le ciblage de responsables français constituait déjà l’ossature du Projet Pegasus de 2021, et l’examen de l’iPhone de l’un d’eux par l’ANSSI dès juillet 2021 était connu. Le rappel d’une hypothèse ancienne, présentée comme une révélation relève de la tromperie éditoriale.

Contexte, temporalité et soupçons d’agenda

Trois éléments de contexte pèsent sur la réception de l’enquête, ce qui en affecte la véracité intrinsèque.

La temporalité de publication (le jour même où le Premier ministre français et 12 ministres se trouvent à Rabat pour sceller le rapprochement franco-marocain) est un choix éditorial assumé qui expose l’enquête au reproche d’instrumentalisation malveillante.

Le soupçon de proximité entre Forbidden Stories et les services français est sérieux: le fait que la principale pièce française (la note DGSE) provienne du renseignement extérieur français en est un élément probant.

Anatomie et tri des griefs

Les objections sont nombreuses. Cinq reproches ont une traction méthodologique réelle. Le plus solide est une contradiction interne au matériau du consortium lui-même: «Safir» affirme que les Émirats ont intégralement financé l’acquisition de Pegasus, quand un ancien salarié de NSO et une autre source du secteur, cités par la même enquête, disent ignorer tout paiement émirati au bénéfice du Maroc. Le grief est d’autant plus difficile à écarter qu’il n’est pas externe: il pointe une faille du dossier de l’intérieur, et fragilise précisément le volet financier de la chaîne d’acquisition, déjà identifié plus haut comme son maillon faible.

Deuxième objection: la déposition de Florence Parly devant le juge Tournaire en avril 2026, où l’ancienne ministre française des Armées déclare n’entretenir aucun soupçon envers un service ou un État déterminé. Un élément du dossier judiciaire qui contredit l’assurance de la narration.

Troisième objection: le classement de l’affaire par l’Audiencia Nacional espagnole en juillet 2023, prolongé d’un second classement en janvier 2026, faute de preuves tangibles reliant l’intrusion à un acteur étranger déterminé. C’est un argument d’autorité judiciaire qui converge avec l’écart indices/attribution souligné plus haut.

Quatrième objection: l’inférence «Morgan = Maroc». Facilement objectable: l’initiale «M» de la prétendue convention de nommage de NSO vaudrait aussi bien pour Monaco, le Mexique ou la Mauritanie s’agissant d’une déduction non démontrée.

Cinquième objection, d’ordre plus structurel: la circularité méthodologique (l’affirmation que l’infrastructure technique est «propre à chaque client») repose sur les grilles d’analyse forgées par le même consortium en 2021, d’où un dispositif qui se valide lui-même.

Sixième objection: le socle testimonial: source unique, anonyme, médiée par un seul intermédiaire, «Safir» n’ayant été interrogé directement ni par le consortium ni par des journaux comme Le Monde, mais par le seul Hicham Mansouri. Ce point de vérifiabilité recoupe exactement la limite posée en ouverture de cette note.

Objections contextuelles contre Mansouri: absence de carte de presse, formation dans le programme de Maâti Monjib, condamnation de droit commun de 2015, hostilité au Maroc constituent un faisceau d’arguments pesant sur la crédibilité de la «source»: la biographie de celui qui recueille un témoignage dit tout de la véracité de ce témoignage.

De plus, le fait que la DGSI ait elle-même cherché à acquérir Pegasus jusqu’en 2021 et que la France ait soutenu le développement de Predator (via Intellexa) énonce des faits réels qui réfutent l’accusation de l’exclusivité supposée d’un usage marocain.

Le ciblage calé sur la Fête du Trône et la visite de la délégation Lecornu ajoute le soupçon crédible d’une «cinquième colonne» marocaine, d’agendas algériens, d’une analogie explicite avec «le mensonge des armes de destruction massive irakiennes» qui relève d’intentions réalistes. Le grief du timing est de ce fait pleinement légitime, la concomitance avec le déplacement ministériel étant un choix éditorial assumé et discutable, déjà relevé plus haut.

Synthèse: une fragilité à tous les niveaux

L’enquête de Forbidden Stories est très fragile: son point de vulnérabilité tient à l’hétérogénéité des registres de preuve non étayées et agrégés sous une même narration orientée et politiquement assumée.

S’y ajoutent le rôle personnel de l’intermédiaire humain, attribué, non corroboré matériellement et démenti, et toute imputation du dossier Pegasus au groupe EDGE, qui se heurte à une impossibilité chronologique.

Reste enfin l’écart, structurellement révélateur, entre la qualification journalistique («nouvelles preuves») et la qualification judiciaire («indices» ne permettant pas l’attribution formelle). Cet écart invalide l’enquête, et en fixe la limite: au terme de la démonstration, on dispose d’un faisceau fabriqué, non d’une preuve d’attribution au sens où l’entendrait un juge.

Par Contribution pour Le360
Le 18/07/2026 à 18h40