Derrière l’annonce de révélations décisives sur une implication de la DGST, la nouvelle campagne du consortium français repose sur une source anonyme invérifiable, des rapprochements documentaires fragiles et une confusion persistante entre détection technique et attribution étatique. Décryptage d’un récit construit pour refermer médiatiquement un dossier que les procédures judiciaires n’ont toujours pas tranché.
À première vue, tout semble avoir changé. Forbidden Stories assure avoir enfin reconstitué la manière dont le Maroc aurait obtenu Pegasus, identifié des responsables de son exploitation et retrouvé le nom de code attribué par NSO Group à son supposé client marocain. Cinq ans après les premières publications, la démonstration serait désormais complète.
À y regarder de plus près, le changement tient surtout à la manière de raconter le dossier. La campagne lancée le 16 juillet 2026 ne produit pas le document décisif qui manquait en 2021. Elle ajoute à l’accusation initiale un personnage central, des détails narratifs, une piste émiratie et plusieurs rapprochements avec des archives provenant d’autres contextes.
La question n’est donc pas de savoir si les nouvelles publications sont plus longues ou plus spectaculaires. Elle est de déterminer si elles apportent enfin une preuve directement vérifiable de l’acquisition ou de l’utilisation de Pegasus par la Direction générale de la surveillance du territoire.
Cette preuve devrait pouvoir prendre une forme relativement identifiable. Un contrat conclu avec NSO Group ou l’un de ses intermédiaires. Une facture. Une autorisation d’exportation désignant l’utilisateur final. Un transfert financier. Une correspondance commerciale explicite. Un registre de livraison. Un compte client relié à une administration marocaine. Un journal d’opérations attribuant une attaque déterminée à un opérateur de la DGST.
Aucune de ces pièces n’est publiée
À leur place, Forbidden Stories installe au centre de son récit une source anonyme présentée sous le pseudonyme de « Safir ». Le consortium affirme qu’il s’agirait d’un ancien membre du renseignement intérieur marocain ayant travaillé près de dix ans au sein du service. C’est essentiellement sur ses déclarations que reposent l’identification des personnes, la description du dispositif supposé et l’interprétation de plusieurs données anciennes.
La difficulté ne réside pas seulement dans l’anonymat de la source. La protection d’un informateur peut être légitime lorsque sa sécurité est menacée. Le problème est qu’aucun élément indépendant rendu public ne permet de vérifier que « Safir » existe réellement, qu’il a travaillé à la DGST, qu’il y occupait les fonctions qui lui sont attribuées ou qu’il disposait d’un accès aux informations dont il prétend avoir eu connaissance.
Le lecteur est invité à croire simultanément à son identité, à sa carrière, à son niveau d’habilitation et à l’exactitude de ses souvenirs parce que Forbidden Stories affirme les avoir vérifiés. Mais les éléments de cette vérification demeurent entièrement enfermés à l’intérieur du consortium.
« Safir » ne présente ni document professionnel authentifiable, ni note de service, ni affectation, ni rapport interne portant un numéro de référence, ni échange administratif susceptible d’être recoupé. Il ne remet pas davantage de copie d’un contrat Pegasus, de registre technique ou d’instruction opérationnelle.
Une source anonyme peut fournir une piste. Elle ne peut être à la fois l’origine de l’accusation, la clé d’interprétation des données et la preuve de sa propre crédibilité.
C’est pourtant le mécanisme adopté. La source attribue certains numéros de téléphone à des personnes qu’elle présente comme des agents associés au fonctionnement du dispositif. Le consortium constate ensuite que ces numéros figurent dans la base de données exploitée depuis le « Projet Pegasus » et considère cette présence comme une validation du témoignage.
Le raisonnement tourne en cercle. La source sert à attribuer une fonction aux numéros. Une fois cette fonction supposée établie, la présence des numéros dans la base est utilisée pour certifier la fiabilité de la source.
Il manque entre les deux une confirmation extérieure. Rien ne démontre publiquement qui a introduit ces numéros dans la base, à quelle date, dans quel but et avec quel niveau d’accès. Rien ne permet de déterminer s’ils correspondent à des utilisateurs, à des cibles, à des tests techniques ou à toute autre catégorie.
Forbidden Stories avance précisément que certains numéros auraient été ajoutés pour tester le logiciel. Cette explication ne provient pas d’un registre technique de NSO ni d’une instruction retrouvée dans les archives de la DGST. Elle repose encore sur le récit de « Safir ».
La base de données devient ainsi suffisamment fiable pour accuser le Maroc, mais sa signification exacte dépend d’une source dont la qualité reste elle-même invérifiable. Le dispositif permet de transformer chaque élément ambigu en confirmation de l’élément précédent.
La nouvelle campagne tente également de combler l’absence de transaction directe avec NSO en introduisant une médiation émiratie. Une entreprise basée aux Émirats arabes unis aurait servi d’intermédiaire et Abu Dhabi aurait pu financer l’accès marocain au logiciel.
Cette piste est présentée comme l’explication permettant de comprendre pourquoi aucun paiement marocain à NSO n’a été retrouvé. Mais elle ne repose, elle non plus, sur aucun circuit financier reconstitué.
Le consortium reconnaît ne pas avoir pu confirmer indépendamment le financement émirati. Il ne publie ni facture réglée pour le compte du Maroc, ni transfert bancaire, ni contrat de mise à disposition, ni clause identifiant la DGST comme bénéficiaire final.
Plus embarrassant encore, un ancien employé de NSO et une autre source interrogée dans le secteur déclarent ne pas avoir connaissance d’un tel financement. L’un des responsables placés par l’enquête au cœur de la médiation affirme, pour sa part, ne rien savoir d’une relation entre l’entreprise concernée, Pegasus et la DGST.
La thèse est donc réfutée ou ignorée par plusieurs personnes citées dans l’enquête elle-même. Elle est néanmoins conservée comme architecture explicative principale.
Le recours au nom de code « Morgan » obéit à la même logique. Ce nom apparaît dans des documents de NSO produits lors du contentieux judiciaire américain avec WhatsApp. Les pièces concernées ne mentionnent pourtant ni le Maroc ni la DGST.
Pour établir le lien, Forbidden Stories s’appuie sur des témoignages anonymes et sur une supposée méthode de nomenclature de NSO. L’entreprise israélienne aurait utilisé des noms de marques automobiles dont la première lettre correspondrait à celle du pays client. « Morgan » commencerait par un M, comme Morocco.
La coïncidence peut justifier une piste d’enquête. Elle ne permet pas d’identifier juridiquement un client
Plusieurs pays commencent par la même lettre. Rien dans le document américain ne précise que le nom de code renvoie au Maroc. Aucun tableau officiel de correspondance entre les noms commerciaux et les États clients n’est publié. Aucun contrat ne vient compléter l’inférence.
La campagne transforme pourtant une analogie alphabétique en élément central de l’attribution. Le nom de code semble précis. Sa méthode d’identification l’est beaucoup moins.
Les captures d’écran de l’interface Pegasus donnent également au dossier une forte apparence technique. Elles permettent au lecteur de visualiser un tableau de bord, des cibles et les fonctions intrusives du logiciel.
Ces images ne proviennent cependant pas d’une infrastructure marocaine. Elles sont issues de documents concernant le Panama ou de pièces produites dans le procès américain contre NSO.
Elles prouvent que Pegasus existe et montrent comment certains clients ont pu l’exploiter. Elles ne démontrent pas qu’une console identique a été installée dans les locaux de la DGST, ni qu’un agent marocain a utilisé l’interface représentée.
Aucune capture ne montre un serveur marocain authentifié. Aucune ne contient un identifiant directement rattaché à la DGST. Aucun historique d’opérations attribuable au Maroc n’est présenté.
La technique sert ici davantage à donner une matérialité visuelle au récit qu’à établir l’identité de l’opérateur.
Le même glissement apparaît dans le recours à d’anciennes données attribuées au piratage de la société italienne Hacking Team, qui commercialisait le programme Remote Control System, ou RCS.
Ces archives ne peuvent pas être présentées comme la preuve d’une utilisation marocaine de RCS. Les publications invoquent des courriels et des références commerciales dont la provenance, l’intégrité complète, le contexte et l’interprétation n’ont pas été soumis à un examen judiciaire contradictoire permettant d’établir qu’une administration marocaine a effectivement acquis, déployé ou utilisé ce système.
L’apparition d’un nom, d’un contact ou d’une administration dans une correspondance commerciale ne prouve pas qu’une transaction a été conclue. Elle peut correspondre à une prospection, une prise de contact, une présentation de produit ou un échange resté sans suite.
Même dans l’hypothèse où certains documents attesteraient une relation commerciale ancienne autour d’un outil distinct, ils ne démontreraient pas l’achat ultérieur de Pegasus auprès d’une autre entreprise. RCS et Pegasus ne sont ni le même produit, ni le même contrat, ni la même infrastructure.
La campagne procède pourtant par continuité suggérée. Elle juxtapose des archives anciennes et les accusations de 2021 pour donner l’impression d’une trajectoire technologique cohérente. Cette continuité est construite par le récit, pas établie par une chaîne documentaire.
La question de l’attribution technique reste, en réalité, le point le plus fragile du dossier.
L’analyse d’un téléphone peut établir la présence d’indices associés à Pegasus. Elle peut identifier une tentative d’exploitation, une infection ou certains échanges avec une infrastructure connue. Elle ne désigne pas mécaniquement le gouvernement ayant ordonné l’opération.
Entre la découverte d’une trace et l’attribution à la DGST, plusieurs étapes doivent être franchies. Il faut identifier le compte client utilisé, établir qui le contrôlait au moment de l’attaque, relier l’infrastructure à une entité marocaine, retrouver l’opérateur, documenter l’ordre de ciblage et exclure l’intervention d’un tiers.
La nouvelle enquête ne franchit pas ces étapes. Elle les remplace par des inférences.
Franceinfo, partenaire de l’opération, reconnaît d’ailleurs que les marqueurs techniques examinés ne suffisent pas, sur le plan judiciaire, à attribuer au Maroc la responsabilité des attaques. Cette réserve contredit directement la certitude affichée dans les titres.
Le rapport concernant le téléphone de Sébastien Lecornu évoque des « indices de compromission » et, au minimum, un « potentiel ciblage ». Ces expressions n’établissent ni l’identité du commanditaire, ni une extraction effective de données, ni une chaîne de responsabilité remontant à Rabat.
La différence est considérable. Un potentiel ciblage n’est pas une intrusion démontrée. Une intrusion démontrée n’identifie pas nécessairement son auteur. Et l’identification d’une infrastructure ne permet pas toujours d’établir l’autorité politique ayant ordonné son utilisation.
La campagne réduit pourtant ces étapes à une seule conclusion. Un numéro apparaît dans une base, donc il a été sélectionné. Il aurait été sélectionné, donc son téléphone aurait été attaqué. Des traces existent, donc l’attaque aurait abouti. L’attaque aurait utilisé Pegasus, donc le Maroc en serait responsable.
Chaque transition ajoute une certitude qui n’est pas contenue dans l’élément précédent.
Certaines contradictions publiées par les partenaires eux-mêmes illustrent cette fragilité. Deux numéros attribués à des responsables algériens n’étaient plus utilisés par les personnes concernées pendant la période examinée. Leur présence dans la base ne pouvait donc pas prouver l’espionnage de leurs anciens titulaires.
Forbidden Stories admet également que certains numéros ont pu être introduits pour effectuer des tests et qu’il n’est pas possible de déterminer combien de téléphones ont été réellement infectés parmi les milliers d’entrées attribuées au client présumé.
Ces précautions disparaissent lorsque le dossier est résumé dans les titres. La possibilité devient un fait. La sélection devient une infection. L’infection devient une opération imputée à la DGST.
Le nombre de médias mobilisés renforce artificiellement cette impression de certitude.
Le Monde, Franceinfo, El Confidencial, 24 heures et les autres partenaires n’ont pas mené des enquêtes séparées qui auraient abouti, indépendamment les unes des autres, au même résultat. Ils ont participé à un travail coordonné, fondé sur la même source centrale, les mêmes données et les mêmes expertises.
Ils ne se confirment donc pas mutuellement. Ils amplifient une matière commune.
La simultanéité des publications crée un effet de masse. Le lecteur voit l’accusation apparaître dans plusieurs journaux et peut croire à une convergence de preuves. Il s’agit surtout d’une convergence éditoriale organisée.
Dix publications fondées sur la même source ne constituent pas dix confirmations indépendantes. Elles constituent dix canaux de diffusion d’un même récit.
Le choix du 16 juillet ne peut, dans ce contexte, être traité comme un détail. La campagne a été lancée le jour de la Réunion de haut niveau franco-marocaine, alors que Sébastien Lecornu se trouvait à Rabat avec une importante délégation gouvernementale.
Cette rencontre devait consacrer le rétablissement de la relation entre Paris et Rabat après plusieurs années de tensions. Les discussions portaient sur la coopération économique, la sécurité, l’Afrique, les investissements et le nouveau cadre stratégique entre les deux pays.
Forbidden Stories a lui-même inscrit la visite dans son récit, en opposant les accusations d’espionnage au rapprochement franco-marocain. Le calendrier ne constitue donc pas seulement le contexte de la publication. Il fait partie de sa stratégie.
La campagne ne cherche pas uniquement à démontrer une hypothèse technique. Elle vise également à imposer une lecture politique de la relation bilatérale.
Le rapprochement entre Paris et Rabat est présenté comme suspect. La France serait oublieuse, faible ou prête à ignorer une atteinte à sa souveraineté. Certains propos relayés vont jusqu’à suggérer que l’évolution française sur le Sahara pourrait être liée à des informations obtenues par espionnage.
Cette insinuation est particulièrement grave. Elle n’est soutenue par aucune preuve.
Aucun secret prétendument collecté par Pegasus n’est identifié. Aucun responsable français ne décrit un chantage marocain. Aucun document ne relie une opération de surveillance à une décision diplomatique de l’Élysée ou du gouvernement.
Le soupçon permet pourtant de délégitimer le rapprochement sans avoir à expliquer ses causes réelles. La stabilité marocaine, la coopération antiterroriste, le rôle du Royaume en Afrique, sa façade atlantique, ses infrastructures, sa politique migratoire et sa diversification diplomatique suffisent pourtant à éclairer le changement de politique française.
Paris peut avoir conclu que sa relation avec Rabat répond à ses intérêts stratégiques. La campagne préfère suggérer que la France ne serait plus capable de décider librement.
La publication intervient ainsi comme une tentative de placer la diplomatie française sous surveillance éditoriale. Puisque certains médias ont accusé le Maroc en 2021, Paris devrait, selon cette logique, maintenir durablement sa politique étrangère sous l’autorité morale de cette accusation, même lorsqu’aucune juridiction ne l’a consacrée.
Le dossier judiciaire ne confirme pourtant pas le verdict médiatique.
En France, les actions en diffamation engagées par le Maroc ont été déclarées irrecevables en raison des règles applicables à l’action d’un État étranger dans le cadre de la loi sur la presse. La justice ne s’est pas prononcée sur la véracité des accusations. Elle n’a pas examiné contradictoirement les preuves annoncées par Forbidden Stories et n’a pas déclaré que le Maroc avait acquis Pegasus.
Présenter cette irrecevabilité comme une défaite du Maroc sur le fond est trompeur. Le débat judiciaire sur les éléments matériels n’a simplement pas eu lieu dans le cadre de ces procédures.
L’enquête pénale française se poursuit, sans qu’un responsable marocain ait été condamné ou publiquement mis en cause par une décision judiciaire établissant sa responsabilité.
En Espagne, l’instruction a été classée une nouvelle fois le 22 janvier 2026. Le juge José Luis Calama avait rouvert le dossier afin d’examiner des informations transmises par la France. Il a conclu qu’elles n’apportaient pas de données nouvelles permettant d’identifier l’auteur des attaques.
Ce point est essentiel. Les éléments présentés comme décisifs dans le débat médiatique n’ont pas permis à une juridiction disposant de pouvoirs d’enquête d’attribuer les intrusions à une personne, un service ou un État déterminé.
Margarita Robles, ministre espagnole de la Défense et victime directe de l’infection de son téléphone, a elle-même refusé de mettre en cause le Maroc sans preuve. Elle a rappelé que la détermination du responsable relevait de la justice.
La commission Pegasus du Parlement européen n’a pas davantage produit une expertise judiciaire définitive désignant la DGST comme opérateur. Elle a repris des accusations, des indices et des appréciations formulées dans le débat médiatique et politique. Elle n’a pas retrouvé le contrat, le compte client ou l’ordre opérationnel manquant.
La campagne de juillet 2026 tente donc d’obtenir par le récit ce que les procédures n’ont pas établi par l’enquête.
Si « Safir » possède réellement des informations internes décisives, pourquoi ses éléments ne sont-ils pas transmis sous une forme exploitable aux magistrats français et espagnols ? Pourquoi aucun document original n’est-il soumis à expertise ? Pourquoi son identité et son parcours ne sont-ils pas vérifiés sous le contrôle d’une juridiction, dans des conditions garantissant à la fois sa protection et le contradictoire ?
La réponse ne peut pas se limiter au secret des sources. Il est possible de protéger publiquement l’identité d’un témoin tout en permettant à la justice de vérifier son existence, sa qualité et la valeur de ses documents.
En l’absence de cette démarche, le public doit accepter la totalité du dispositif sur la seule autorité du consortium. Il doit croire que la source existe, qu’elle a occupé les fonctions décrites, qu’elle avait accès aux informations évoquées et que ses déclarations ont été correctement interprétées.
C’est précisément ce que la campagne prétend éviter lorsqu’elle enquête sur les pouvoirs opaques. Elle demande pourtant au lecteur de lui accorder la confiance absolue qu’elle refuse, à juste titre, d’accorder aux institutions qu’elle met en cause.
Le dossier reste donc confronté à la même question qu’en 2021. Où est la pièce qui relie directement Pegasus à la DGST ?
Ni le pseudonyme « Safir », ni le nom de code « Morgan », ni une hypothèse de financement émirati non vérifiée, ni des images provenant du Panama, ni des archives controversées relatives à un autre logiciel ne remplacent cette preuve.
Ces éléments peuvent être assemblés pour produire un récit cohérent. Ils ne forment pas nécessairement une démonstration.
Forbidden Stories a surtout réussi à densifier sa narration. Le consortium a donné un visage anonyme à l’accusation, imaginé un itinéraire d’acquisition indirect, rattaché des documents disparates à une même chronologie et organisé leur publication au moment le plus sensible pour les relations franco-marocaines.
Mais plus le récit devient précis dans ses détails, plus l’absence de document central devient visible.
Après cinq années d’investigation, aucune pièce publique ne prouve que la DGST a acheté Pegasus, reçu une licence, contrôlé le compte « Morgan » ou ordonné l’attaque d’un téléphone français. Les traces techniques citées ne suffisent pas à l’attribution judiciaire. Les hypothèses financières se contredisent. La source principale demeure invérifiable. Les procédures n’ont identifié aucun auteur.
La nouvelle campagne ne referme donc pas l’affaire Pegasus. Elle tente de refermer le débat médiatique autour d’une conclusion arrêtée à l’avance.
Son efficacité repose sur trois ressorts. La puissance d’une publication coordonnée, la technicité apparente des documents et un calendrier conçu pour placer le rapprochement entre Paris et Rabat sous le poids du soupçon.
Ce dispositif peut produire un verdict dans l’opinion. Il ne produit pas la preuve qui manque au dossier.
Cinq ans après, Forbidden Stories n’a toujours pas démontré que le Maroc a utilisé Pegasus. Le consortium a seulement construit une nouvelle manière de l’affirmer.