Deepfake de documents : le nouveau risque silencieux pour les entreprises
En 2026, falsifier un PDF prend moins de 30 secondes avec les bons outils. Voici ce que ça change pour votre entreprise, comment vérifier un document que vous recevez, et comment protéger les documents que vous émettez.
On parle beaucoup de deepfake vidéo, beaucoup moins de son cousin documentaire. Pourtant, c'est lui qui coûte le plus d'argent aux entreprises : un RIB modifié sur une facture fournisseur, un montant gonflé sur un devis, un bulletin de paie fabriqué pour un dossier locatif. Le risque n'est plus théorique, il est quotidien.
La bonne nouvelle : des vérifications simples existent, et les solutions de protection préventive aussi. Cet article fait le point pour les DAF, DG et responsables financiers qui veulent comprendre le sujet sans expertise technique.
Qu'est-ce qu'un deepfake de document ?
Un deepfake de document est un fichier (PDF, image scannée, contrat) modifié à l'aide d'outils d'intelligence artificielle pour altérer son contenu sans laisser de trace visible. Là où une retouche manuelle laisse souvent des indices (police différente, alignement bancal, pixels qui tranchent), l'IA générative reconstruit la mise en page à l'identique.
La différence avec le deepfake vidéo ou image, plus médiatisé, est double. D'abord, le coût : modifier un PDF ne demande ni puissance de calcul ni compétences techniques pointues. Ensuite, l'impact : un deepfake vidéo cherche à désinformer ; un deepfake documentaire cherche presque toujours à détourner de l'argent ou à obtenir un avantage contractuel.
Quelques cas concrets vus chez nos premiers utilisateurs et dans la presse spécialisée en 2025-2026 :
- Une PME paie 8 000 € sur un faux IBAN, après réception d'une facture fournisseur dont le RIB a été modifié.
- Un contrat de prestation, signé électroniquement, dont une clause a été modifiée a posteriori dans la version circulant côté client.
- Un dossier de location accepté grâce à un bulletin de paie falsifié, indiscernable d'un vrai à l'œil nu.
- Un rapport d'expertise dont les conclusions ont été réécrites avant transmission à l'assurance.
Pourquoi c'est devenu si simple en 2026
Trois évolutions, en quelques années seulement, ont fait basculer le rapport de force.
Les éditeurs PDF sont devenus accessibles. Ce qui demandait Adobe Acrobat Pro et un peu de pratique est aujourd'hui faisable depuis un navigateur, gratuitement, en quelques clics. Le ticket d'entrée à la modification de PDF est tombé à zéro.
L'IA générative reconstruit du texte de façon invisible à l'œil nu. Les indices visuels qui trahissaient autrefois une modification (police légèrement différente, espacement irrégulier, anti-aliasing qui jure) ont quasiment disparu. Une IA peut désormais reproduire la police exacte d'un document, l'alignement, et même les irrégularités d'impression d'origine.
Les traces de modification s'effacent facilement. Réimprimer un PDF en PDF, exporter depuis un outil neutre, ré-encoder l'image : autant d'opérations triviales qui suppriment l'historique de modifications du fichier original.
Cumulées, ces trois évolutions font qu'un employé non technicien peut, en moins d'une minute, produire un document falsifié qu'un humain non averti ne pourra pas distinguer de l'original.
Les 5 types de fraude documentaire IA les plus courants
D'après les retours des CFO et services achats que nous avons interviewés, ces cinq schémas concentrent la grande majorité des incidents.
- Modification de RIB sur facture fournisseur. Le grand classique. Un fournisseur légitime envoie une facture ; un acteur malveillant intercepte ou recrée le document avec son propre IBAN, et l'envoie à la comptabilité. Coût moyen par incident en 2025 : entre 5 000 € et 50 000 €.
- Altération de montant sur devis ou facture. Soit pour fraude interne (un employé majore une note de frais), soit pour fraude commerciale (un prestataire modifie un devis accepté). Les deux versions circulent en parallèle, le litige éclate à l'encaissement.
- Falsification de bulletin de paie. Pour obtenir un logement, un crédit, ou justifier un revenu. Les bailleurs et établissements de crédit sont particulièrement exposés.
- Modification de clause dans un contrat. La version archivée par une partie diffère subtilement de celle archivée par l'autre. Sans référence certifiée, le contentieux peut traîner des mois.
- Rapport d'expertise ou certificat falsifié. Diagnostics immobiliers, rapports comptables, certificats de conformité : tous les documents qui font foi auprès d'un tiers sont des cibles.
Comment vérifier un document que vous venez de recevoir ?
Quatre méthodes complémentaires. Aucune n'est infaillible prise isolément, mais croisées elles couvrent l'essentiel des cas.
1. Métadonnées et historique du fichier. Clic droit sur le PDF → Propriétés (Windows) ou Lire les informations (Mac). Date de dernière modification postérieure à la date d'envoi, changement de logiciel d'origine, auteur incohérent : autant d'indices. Limite : ces métadonnées peuvent être effacées.
2. Comparaison avec l'original. C'est la méthode qui tranche. Si vous avez accès à l'original (côté émetteur ou via une plateforme tierce), comparer le fichier reçu avec celui que l'émetteur a conservé donne une réponse binaire : identiques, le document est authentique ; différents, il a été modifié. Un document scellé à l'émission rend cette comparaison instantanée sur deepstamp.fr/verify.
3. Incohérences visuelles. Même avec l'IA, certains défauts subsistent quand on regarde de près : polices très légèrement différentes entre deux blocs de texte, espacements irréguliers, anti-aliasing différent, contours flous sur les éléments modifiés. Un examen attentif à 400 % de zoom révèle souvent ce que l'œil rate à taille normale.
4. Vérification directe auprès de l'émetteur. La méthode la plus simple, et souvent la plus efficace : un appel téléphonique au numéro officiel du fournisseur (pas celui qui figure sur le document suspect), pour confirmer l'envoi, le montant et l'IBAN. Pour les paiements au-dessus d'un certain seuil, c'est devenu une pratique standard dans beaucoup de DAF.
Ces méthodes examinent un document après coup, une fois qu'il est arrivé chez le destinataire. La vraie protection est préventive : empêcher qu'un document modifié puisse passer pour authentique en premier lieu.
La protection préventive : certifier à l'émission
Le principe est simple. Au moment où vous émettez un document (facture, contrat, bulletin), un sceau unique est posé sur le fichier et conservé chez un tiers indépendant. N'importe quel destinataire peut ensuite vérifier que le PDF qu'il a reçu correspond bien à celui que vous avez émis, à la virgule près.
Trois approches existent, selon le niveau d'exigence et le type de document :
Signature électronique qualifiée. Pour les contrats et documents juridiques. Garantit l'identité du signataire et l'intégrité du fichier signé. Coûteuse et lourde à intégrer pour des documents émis en masse (factures, bulletins).
Archivage à valeur probante. Pour les documents soumis à obligation légale de conservation. Garantit l'intégrité dans le temps, mais ne donne pas au destinataire un moyen direct de vérifier.
Certification à l'émission. Pour les flux documentaires courants. Un sceau est posé sur le fichier à l'émission et conservé chez un tiers vérifiable. Le destinataire peut contrôler l'authenticité gratuitement, sans compte, en moins de deux secondes.
Quel que soit l'outil retenu, la logique reste la même : dans un monde où n'importe quel document peut être falsifié sans laisser de trace visible, la confiance ne peut plus reposer sur l'apparence du fichier. Elle doit reposer sur une preuve indépendante, vérifiable par n'importe qui, à n'importe quel moment.
FAQ
Qu'est-ce qu'un deepfake de document ?
Un fichier (PDF, image, contrat) modifié à l'aide d'outils d'IA pour altérer son contenu sans laisser de trace visible. L'IA reconstruit la mise en page, les polices et les éléments visuels de façon invisible à l'œil nu.
Comment vérifier un PDF que l'on vient de recevoir ?
Quatre approches : examiner les métadonnées et l'historique du fichier, comparer le fichier reçu à l'original conservé par l'émetteur, repérer les incohérences visuelles, et vérifier la source directement auprès de l'émetteur.
Quels sont les types de fraude documentaire IA les plus courants en 2026 ?
Cinq cas dominent : modification du RIB sur facture fournisseur, altération de montants, falsification de bulletins de paie, modification de clauses contractuelles, fabrication ou trafic de rapports d'expertise.
La signature électronique protège-t-elle des deepfakes documentaires ?
Partiellement. Elle protège les contrats signés, mais pas les documents échangés au quotidien (factures, devis, bulletins). Pour ces derniers, il faut une autre couche de protection : typiquement une certification à l'émission.
Comment protéger les documents que mon entreprise émet ?
Trois leviers : conserver l'original côté émetteur, donner au destinataire un moyen de vérifier l'authenticité, et former les équipes finance/RH à recouper toute information sensible par un canal indépendant avant paiement.