Par Hanane Ben

Sous la coordination de l'organisation Forbidden Stories et avec l'appui technique du Laboratoire de sécurité d'Amnesty International, un consortium international de 39 journalistes — réunissant des médias de premier plan tels qu’El ConfidencialLe MondeRadio FranceThe GuardianHaaretzDie Zeit ou encore Tamedia — lève le voile sur les rouages secrets du pouvoir marocain. En 2021, le projet Pegasus avait déjà exposé la tentative d'espionnage de plus de 12 000 personnes par Rabat.

 Aujourd'hui, cette enquête collaborative d'envergure pénètre directement dans les coulisses de la machine d'Abdellatif Hammouchi : une vaste entreprise d’espionnage d'État qui s'étend du Palais royal de Rabat aux filatures sur le terrain. Pour la première fois, ce travail s'appuie sur les révélations inédites de trois anciens membres des services secrets marocains et sur des fuites massives de données de surveillance (photos de victimes, données de localisation, enregistrements audio et documents officiels). Ces preuves matérielles, recoupées avec des officiers de renseignement européens et des procédures judiciaires à travers le monde, mettent à nu un système tentaculaire de surveillance globale, physique et numérique.

Selon cette enquête internationale d'envergure, l'espionnage de Pedro Sánchez et de ses ministres via le logiciel Pegasus a été orchestré par le pouvoir marocain pour contraindre Madrid à céder sur le dossier du Sahara Occidental. S'appuyant sur des rapports confidentiels des services secrets espagnols (le CNI) obtenus par les journalistes, l'enquête démontre que Rabat a profité de l'hospitalisation en Espagne du leader du Front Polisario pour lancer une double offensive en mai 2021 : d'abord sur le terrain, en ouvrant la frontière de Ceuta pour provoquer une crise migratoire historique (10 000 passages en 24 heures), puis dans le cyberespace, en piratant les téléphones du Premier ministre espagnol et de ses ministres de la Défense et de l'Intérieur pour en extraire des gigaoctets de données hautement sensibles. Ce chantage hybride mis au jour par le CNI et documenté par les journalistes a finalement payé, puisque Pedro Sánchez a capitulé en mars 2022 en s'alignant officiellement sur la position marocaine, brisant ainsi quarante ans de consensus diplomatique espagnol.

Du sommet de l'État aux cellules techniques de piratage

Selon El Confidencial, la machine d'espionnage marocaine repose sur une chaîne de commandement hautement structurée qui relie directement le sommet de l'État aux cellules techniques de piratage. Tout commence au Palais royal de Rabat, où Fouad Ali El Himma (conseiller influent et ami d'enfance du roi) dirige le Bureau 21, l'organe décisionnel d'où émanent les ordres d'espionnage ciblant des chefs d'État étrangers comme Emmanuel Macron ou Pedro Sánchez. Ces directives politiques sont ensuite transmises à la puissante DGST d'Abdellatif Hammouchi, dont la Direction des Opérations (DOP) assure l'exécution technique. C'est au sein de cette direction que la cellule d'interception héberge les serveurs et l'arsenal de cyberespionnage — notamment le logiciel Pegasus —, permettant aux agents de contrôler à distance les téléphones et d'aspirer les données de milliers de cibles, qu'il s'agisse de dirigeants internationaux ou d'opposants internes tels que des journalistes et des militants sahraouis ou rifains.

Au-delà du cyberespace, ce dispositif de surveillance s'étend jusqu'à l'espionnage physique et de proximité des effectifs de la MINURSO (la mission de l'ONU au Sahara Occidental) ; selon des sources des services secrets, l'hôtel Laâyoune hébergeant le personnel des Nations Unies est entièrement truffé de micros, de caméras cachées et d'outils d'interception de connexions internet et d'appels, tous contrôlés par l'antenne régionale de la DGST avant transfert des données vers le quartier général de Rabat. Cet arsenal d'interception à large spectre ne s'arrête pas aux frontières du pays et vient compléter la force de frappe de la DGED (le renseignement extérieur marocain), qui déploie ses propres agents à l'étranger selon les besoins opérationnels.

Modus operandi : un ex-espion marocain raconte

Le travail de la DGST repose sur la fusion d'un espionnage traditionnel et de technologies de pointe, le tout amplifié par une impunité totale et une absence absolue de contrôle judiciaire, les services marocains agissant sans aucun mandat pour neutraliser ceux qu'ils perçoivent comme des menaces. Ancien membre de cet appareil sécuritaire, un ex-espion « Safir » a indiqué que « Notre plus grande force de frappe, ce sont les écoutes ». Selon lui, l'agence traite sur un pied d'égalité les réseaux djihadistes, les journalistes d'investigation, les militants sahraouis et les défenseurs des droits de l'homme dans un unique but : « Notre mission principale est de protéger le roi et de garantir la continuité de la monarchie ». Face à cette surveillance de masse sans limites, l'ex-agent marocain a dressé un constat sans appel — « Nous sommes devenus un État policier » —, rappelant la ligne rouge absolue du régime : « Si vous mentionnez le roi, vous devenez automatiquement une cible ».

Avant l’arrivée de Pegasus, « notre quotidien reposait sur des méthodes plus traditionnelles », a confié Safir. Pour surveiller ses sujets, la DGST commençait par dresser un profilage chirurgical de leur vie privée et professionnelle, ainsi que de celle de leurs proches. L'ancien agent l'admet sans détours : « Notre plus grande force de frappe, ce sont les écoutes ». Ce piratage de masse s’opérait directement depuis les antennes-relais de l'opérateur historique Maroc Telecom — contrôlé par l'État marocain et le groupe émirati Etisalat —, permettant d'intercepter les flux de communication.

Lorsque cette surveillance globale ne suffisait pas, les techniciens de la DGST recouraient à des pièges physiques très concrets, comme la vente de téléphones pré-infectés grâce à la complicité de petits commerçants de quartier. Enfin, pour pallier le faible taux d'équipement informatique des ménages, la DGST ciblait massivement les espaces publics de connexion, bénéficiant d'une formation de la Garde civile espagnole pour pirater ces réseaux : « Les agents de terrain nous indiquaient quels cybercafés la cible fréquentait ; nous savions donc exactement ce qu'elle y faisait, car nous avions préalablement infecté ces ordinateurs », a détaillé Safir.

Pour resserrer son étau, la DGST s'appuie sur une surveillance humaine ultra-locale en exploitant les moqadem, un immense réseau de fonctionnaires de bas rang qui quadrillent chaque rue du pays sous diverses couvertures (vendeurs de cigarettes à la sauvette, passants ou faux clients). En parallèle, les agents techniques déploient des méthodes d'intrusion physique redoutables : piratage des réseaux Wi-Fi domestiques, déploiement d'intercepteurs d'IMSI (fausses antennes-relais) et pose de micros ou caméras de la taille d'une lentille fournis par l'armée israélienne, dissimulés dans les climatiseurs ou les matelas lors des absences des cibles.

Les points de passage frontaliers et les contrôles aéroportuaires sont également érigés en pièges cybernétiques. Safir a détaillé ce procédé d'une efficacité chirurgicale : « La police aux frontières invente un prétexte pour lui confisquer son téléphone. Je l'infecte et je le lui restitue. Le tout en environ 30 minutes. » Enfin, si ces manœuvres échouent, le régime recourt à l'arrestation pour forcer l'accès aux appareils via des outils de déverrouillage par force brute comme Cellebrite.

Quand le programme israélien de NSO Group entre-t-il en scène ?

Dans l'arsenal technologique de la DGST, le logiciel espion Pegasus n'est jamais déployé en première intention. « Nous ne commençons jamais par Pegasus », explique Safir. « Il intervient après les écoutes téléphoniques, l'espionnage dans l'appartement, dans la voiture. C'est une approche scientifique, comme nous disons. » Ce n'est que lorsque ces méthodes traditionnelles et moins coûteuses échouent que le programme israélien de NSO Group entre en scène : « C'est un peu l'arme ultime contre le boss final », résume l'ancien agent.

Afin de contourner l'absence de relations officielles entre Israël et le Maroc à l'époque, l'acquisition du logiciel s'est faite en 2017 par l'intermédiaire d'une société écran émiratie, FSSYS Al Fahad, qui a financé l'opération tandis que la DGST en conservait l'usage exclusif. Après plusieurs semaines d'installation de serveurs dédiés à Rabat, le système est devenu opérationnel. « Pegasus est très facile d'utilisation, c'est comme ouvrir Chrome. Vous vous connectez avec votre identifiant et vous trouvez vos cibles. Vous cliquez et vous voyez les données et preuves qui vous ont été transmises », confie Safir.

Techniquement, le logiciel fonctionne par dossiers thématiques. Dès qu'un numéro est entré, Pegasus réalise un fingerprinting (un profilage des vulnérabilités de l'appareil). Si la cible est trop méfiante, le manuel recommande d'infecter son entourage. Les vecteurs d'attaque ont constamment évolué pour s'adapter aux systèmes Android et iOS : de la méthode d'infection « Heaven » en 2018 aux attaques « zéro clic » (sans interaction de l'utilisateur) comme « Diablo » ou « Dragonfly », qui s'infiltrait directement via iMessage. L'efficacité du système lors des premières démonstrations avait d'ailleurs bluffé les services marocains, comme s'en souvient Safir : « Ils nous ont montré une attaque dans laquelle ils passaient un appel anonyme et, cinq secondes plus tard, le téléphone était infecté. »

Du « clic » à l'infection invisible : la panoplie d'attaque

Pour s'introduire dans les téléphones, les analystes de la DGST disposent de trois méthodes d'intrusion, de la plus artisanale à la plus sophistiquée :

  • L'infection en un clic (One-click) : Cette méthode classique repose sur l'ingénierie sociale. L'opérateur envoie un SMS, un e-mail ou un message WhatsApp piégé (faux suivi de colis, alerte de paiement). Un seul clic de la victime télécharge instantanément Pegasus. C'est par ce biais qu'a été piraté, en novembre 2017, le téléphone de l'avocat des militants du Rif, Abdessadak El Bouchattaoui.
  • L'infection sans clic (Zero-click) : Beaucoup plus redoutable, cette méthode fournie par NSO Group dès 2018 ne requiert aucune interaction de l'utilisateur. Une communication invisible force le téléphone à télécharger silencieusement le logiciel espion, sans laisser de trace à l'écran. Pour accélérer ce processus, l'opérateur Maroc Telecom fournissait directement à la DGST les codes IMEI (l'identifiant unique des téléphones) de ses clients pour identifier instantanément leurs modèles d'appareils.
  • L'injection réseau par « passerelle » : Déployée en 2019, cette technique ultime intercepte et redirige le trafic internet de la cible vers des serveurs malveillants via des dispositifs physiques (comme des IMSI-catchers simulant des antennes-relais). Grâce à l'installation d'équipements directement connectés au cœur du réseau de Maroc Telecom, un simple appel anonyme non décroché suffit à injecter Pegasus. Comme le résume Safir : « Le code malveillant est injecté directement à travers les équipements de passerelle intégrés à l'infrastructure même de Maroc Telecom ».

La collecte de données et la fabrique du « verdict »

Une fois infiltré, l’agent Pegasus octroie un contrôle absolu sur l'appareil en réalisant une copie complète de sa mémoire (photos, messages chiffrés, coordonnées GPS) qu'il extrait en tâche de fond. Pour éviter que cette fuite massive de gigaoctets n'éveille les soupçons de la victime, l’opérateur historique Maroc Telecom attribue secrètement des forfaits de données illimités aux téléphones ciblés. Le logiciel alterne alors entre surveillance passive en temps réel (réception des messages et appels sur l'écran de l'analyste) et surveillance active (activation à distance du micro, de la caméra et d'alertes de proximité si deux cibles se rencontrent). L'objectif ultime de cette intrusion totale dépasse le simple renseignement : la DGST exploite ces données intimes pour fabriquer de fausses preuves, faire chanter l'entourage et condamner arbitrairement les opposants devant des tribunaux aux ordres. « Nous commençons par le verdict », a résumé froidement Safir, décrivant un engrenage destructeur qui s'achève par des campagnes de lynchage médiatique orchestrées par des sites collaborateurs, menant les victimes à la prison, à l'exil et à de graves séquelles psychologiques.

Les visages de l'espionnage marocain

Selon toujours les révélations de cette enquête, l'appareil d'espionnage marocain de la DGST (Direction générale de la surveillance du territoire), est structuré autour de ses principaux responsables :

  • Abdellatif Hammouchi : iI est le directeur général de la DGST, dont le siège à Rabat centralise les activités de surveillance physique, d'écoutes téléphoniques, de diffamation des opposants et d'infections par le logiciel espion Pegasus.
  • Mohamed Raji : il dirige la DOP (Direction des Opérations), la direction la plus importante de la DGST, qui pilote l'ensemble des technologies et de l'infrastructure technique d'espionnage du pays.
  • Abdeljalil Taki : responsable de la DGEI (l'entité chargée d'exploiter les outils technologiques de la DGST), il a assisté aux premières démonstrations de Pegasus par l'entreprise NSO et a participé aux phases de test du système dès septembre 2017.
  • Abdelaziz Brachmi : membre de l'ECT, il est chargé de coordonner l'acquisition et l'utilisation des différents logiciels espions. Il était également présent lors des démonstrations initiales de Pegasus.
  • Mohammed VI : le roi du Maroc a marqué le soutien du régime en visitant pour la première et unique fois le siège de la DGST le 24 avril 2018, posant pour une photo officielle devant la Direction des Opérations aux côtés de plus d'une centaine d'agents de renseignement identifiés depuis.

Omar Radi : le journaliste traqué par la DGST

L’enquête évoque le cas du journaliste d'investigation marocain Omar Radi qui illustre de manière flagrante la dérive autoritaire de la DGST, qui a déployé contre lui une surveillance totale mêlant filatures physiques permanentes, pose de micros à son domicile, dans son véhicule et dans les cafés qu'il fréquentait, ainsi que l'usage du logiciel espion Pegasus après avoir épuisé les méthodes classiques. Visé dès 2011 en raison de ses enquêtes sur la corruption du régime, il a subi une campagne de diffamation médiatique orchestrée par l'État avant d'être arrêté en juillet 2020 et condamné à six ans de prison lors d'un procès jugé inéquitable par les ONG internationales. Bien que libéré en juillet 2024 grâce à une grâce royale partielle, Omar Radi vit aujourd'hui en exil en Allemagne, interdit d'exercer son métier et toujours sous la surveillance étroite des agents marocains à l'étranger, confirmant le constat d'anciens espions repentis sur l'absence totale de contrôle légal et d'humanité d'un appareil sécuritaire devenu incontrôlable.

Selon « Safir » qui a participé à sa surveillance, le service opère en toute illégalité en dehors de tout contrôle législatif. Il décrit une structure sans limites légales dont les agents sont devenus des « monstres froids » ayant perdu toute humanité.