Accusé par 17 rédactions d'utiliser le logiciel espion Pegasus, le Maroc a demandé à ses accusateurs de fournir des «preuves» de son implication, par l'établissement de la «matérialité des faits». Aujourd'hui, le journal Le Monde, qui faisait partie des premiers accusateurs, répond en présentant des «éléments techniques qui attestent de l'implication du Maroc». Le Security Lab d'Amnesty International, en partenariat avec le Citizen Lab, un laboratoire de recherche de l'université de Toronto spécialisé dans l'analyse de logiciels espions, a annoncé dans un rapport public les résultats de son étude sur 40 téléphones compromis par le logiciel espion israélien Pegasus. Les experts ont pu, notamment, démontrer les traces de composants étrangers aux systèmes d'exploitation tous «signés» par les traces que laissent le logiciel Pegasus. Ces preuves de la présence d'un unique logiciel, commercialisé par NSO Group, se retrouve dans les similitudes que présentent les adresses internet utilisées pour communiquer avec l'extérieur par les téléphones infectés. Pour les iPhones, la faille permettant l'infection provenait du système iMessage avec lequel Pegasus entre en contacte. Parmi les téléphones inspectés, quatre personnes en lien avec le Maroc ont été contacté par un même compte iCloud «bergers.o79» en 2019. Dans la liste des victimes, Omar Radi, Joseph Breham (avocat ayant travaillé sur le Sahara occidental), Lenaïg Bredoux (journaliste ayant enquêté sur le patron du renseignement marocain Abdellatif Hammouchi) et un avocat souhaitant garder l'anonymat. Le même compte iCloud a été utilisé pour infecter d'autres journalistes français, mais aussi hongrois, des cibles indiennes ou encore l'ancien ministre de l'Ecologie, François de Rugy. Récemment, ce compte a totalement disparu, pour laisser place au compte «linakeller2203» qui viendra exploiter une nouvelle faille iCloud et infecter notamment Claude Mangin, épouse d'un militant sahraoui, Philippe Bouyssou maire d'Ivry-sur-Seine (Val-de-Marne) et soutien de Claude Mangin, Oubi Bouchraya Bachir, représentant en Europe du front Polisario ou Hicham Mansouri. Selon les informations obtenues par les journalistes du Monde, «plusieurs services de l'Etat en France ont acquis la conviction que le Maroc était bel et bien client de Pegasus». D'ailleurs, le Citizen Lab avait identifié des attaques issues de l'appareil sécuritaire marocain utilisant Pegasus dès 2018 et ciblant en majorité des numéros marocains, mais aussi français et algériens, coïncidant avec les révélations du projet Pegasus.
