Comment détecter un bulletin de paie falsifié : guide technique
Le dossier de location semblait parfait. Trois fiches de paie, un contrat CDI, un employeur vérifiable sur SIRENE. L'agence a validé. Trois mois plus tard, le locataire ne paie plus — et l'enquête révèle que les bulletins avaient été retouchés à la marge : le salaire net gonflé de 400 €, le cumul corrigé en conséquence. L'œil nu ne voyait rien. Les métadonnées du fichier PDF, elles, racontaient une autre histoire.
Ce guide décrit les signaux techniques qu'un expert — ou un développeur équipé d'outils libres — peut lire dans un fichier avant même d'en ouvrir le contenu.
Le contexte chiffré
En 2024, les cas de falsifications numériques de documents ont progressé de +244 % par rapport à 2023, dépassant pour la première fois les contrefaçons physiques. Côté comportement : 10,8 % des Français admettent avoir utilisé un faux document au moins une fois (enquête Finovox, 2024).
Le bulletin de paie concentre une part disproportionnée de cette fraude parce qu'il est exigé partout — bail, crédit, prêt immobilier, dossier CAF — et qu'il n'existe pas, dans le secteur privé, de base de vérification centralisée accessible au grand public. La DSN (Déclaration sociale nominative) permet aux organismes habilités (CAF, CPAM, France Travail) de croiser les données, mais un bailleur privé ou une fintech n'y a pas accès.
Sur le plan pénal, la fabrication ou la modification frauduleuse d'un bulletin de paie constitue un faux et usage de faux au sens de l'article 441-1 du Code pénal : 3 ans d'emprisonnement et 45 000 € d'amende. La sanction monte à 10 ans et 150 000 € pour les documents publics ou officiels (article 441-2).
Ce qu'un PDF révèle avant la première lecture
Les métadonnées du DocInfo
Chaque fichier PDF embarque un dictionnaire interne DocInfo contenant au minimum quatre champs : CreationDate, ModDate, Creator (logiciel d'origine) et Producer (moteur PDF utilisé). Un bulletin légitime généré par un logiciel de paie certifié — Silae, Cegid, Sage — affiche un Creator reconnaissable et un ModDate identique ou très proche de la CreationDate.
Le signal d'alerte classique : un ModDate postérieur de plusieurs jours à la CreationDate sur un document qui n'aurait jamais dû être retouché. Ou un Creator qui dit “Adobe Photoshop” ou “LibreOffice Writer” là où on attendrait un logiciel de paie.
Les commandes pour lire ces métadonnées
Linux / macOS (poppler-utils) :
pdfinfo bulletin_mars_2026.pdfSortie typique d'un document sain :
Creator: Silae - Générateur de bulletins
Producer: iText 2.1.7 by 1T3XT
CreationDate: Fri Mar 31 23:58:12 2026
ModDate: Fri Mar 31 23:58:12 2026Sortie d'un document retouché :
Creator: Adobe Acrobat 23.0
Producer: Adobe PDF Library 23.0
CreationDate: Fri Mar 31 23:58:12 2026
ModDate: Mon Apr 07 14:32:44 2026Le gap de 7 jours, combiné au passage par Acrobat sur un document supposément généré en sortie de logiciel de paie, constitue un signal fort qui justifie une demande de justificatif complémentaire.
Avec exiftool (multi-plateforme) :
exiftool -CreateDate -ModifyDate -Creator -Producer bulletin_mars_2026.pdfWindows PowerShell (natif, sans installation) :
# Empreinte SHA-256 du fichier
Get-FileHash bulletin_mars_2026.pdf -Algorithm SHA256macOS / Linux :
sha256sum bulletin_mars_2026.pdf
# ou sur macOS :
shasum -a 256 bulletin_mars_2026.pdfLa limite cruciale des métadonnées
Les champs CreationDate et ModDate sont des chaînes de texte en clair. N'importe quel outil peut les réécrire après modification. Un falsificateur averti les réinitialise. Ces signaux sont donc des indices, pas des preuves : leur présence est très significative (un falsificateur non-expert ne les efface pas), mais leur absence ne certifie rien.
L'empreinte SHA-256 constitue un élément technique d'intégrité que les juges retiennent régulièrement lorsqu'elle est ancrée dans un tiers de confiance au moment de la génération. Sans cet ancrage tiers certifié, elle prouve uniquement que le fichier n'a pas changé depuis réception — pas qu'il était intact à l'origine.
Les vérifications complémentaires
Cohérence des cumuls
Un bulletin comporte un cumul net imposable annuel. La règle arithmétique est simple : cumul(N) = cumul(N-1) + net imposable(N). Une falsification du salaire mensuel sans correction du cumul — ou une correction maladroite — laisse une incohérence calculable en trente secondes.
Le SIRET de l'employeur
Le numéro SIRET figurant sur le bulletin doit correspondre à un établissement actif dans le registre SIRENE. Une vérification automatisée via l'API publique data.gouv.fr/api/sirene/ prend moins d'une seconde par document. Un SIRET fermé ou inexistant est rédhibitoire.
La structure interne du PDF avec pdfid
L'outil pdfid de Didier Stevens (libre, Python) comptabilise les objets internes : présence de JavaScript embarqué, de révisions multiples (signe d'une modification incrémentale), de flux compressés inhabituels. Un bulletin de paie n'a aucune raison d'avoir du JavaScript ni de révisions multiples.
pip install pdfid
pdfid.py bulletin_mars_2026.pdfUn champ /JS ou /JavaScript non nul sur un bulletin est une anomalie sérieuse. La présence d'un champ /Encrypt inattendu mérite aussi investigation.
Pourquoi la détection post-réception ne suffit pas
Toutes ces méthodes ont un point commun : elles interviennent après la génération, sur un fichier dont on ne connaît pas l'état d'origine. La détection forensique est une course contre un adversaire qui s'adapte. Un falsificateur qui lit ce guide saura réinitialiser les métadonnées et réécrire les cumuls.
Ce que la forensique ne peut pas fabriquer, c'est l'ancrage temporel certifié à la génération : une empreinte inscrite dans un registre immuable au moment précis où le logiciel de paie a produit le fichier, avant qu'aucune main ne le touche.
C'est la différence entre détecter une anomalie — ce qu'un expert peut faire a posteriori — et prouver l'intégrité, ce qu'une infrastructure de confiance inscrite à la génération rend possible structurellement.
Questions fréquentes
Un bulletin de paie généré par Word ou LibreOffice est-il forcément frauduleux ?
Non. Les petites structures qui éditent leurs bulletins manuellement utilisent parfois un traitement de texte. C'est un signal de risque, pas une preuve. Il faut croiser avec d'autres indicateurs : cohérence des cumuls, SIRET actif, attestation employeur.
pdfinfo signale un ModDate différent de la CreationDate. Est-ce suffisant pour rejeter un dossier ?
Non. L'écart entre CreationDate et ModDate est un indicateur forensique, pas une preuve légale. Il justifie une demande de justificatif complémentaire — attestation employeur, dernier relevé de compte — mais pas un refus automatique.
Le SHA-256 d'un bulletin peut-il être vérifié sans que l'émetteur l'ait publié ?
Non. L'empreinte SHA-256 n'a de valeur que si elle peut être comparée à une valeur de référence certifiée à la génération. Sans ce point d'ancrage tiers, elle prouve seulement que le fichier n'a pas changé depuis réception, pas qu'il était intact à l'origine.
Les outils mentionnés fonctionnent-ils sous Windows ?
Get-FileHash est natif PowerShell (Windows 10+). exiftool est disponible en binaire Windows sans installation. pdfinfo nécessite les poppler-utils, installables via winget, Chocolatey, ou WSL.
Quelle est la sanction pénale pour fabrication d'un faux bulletin de paie ?
La fabrication ou modification frauduleuse d'un bulletin de paie constitue un faux et usage de faux au sens de l'article 441-1 du Code pénal : 3 ans d'emprisonnement et 45 000 € d'amende. La sanction monte à 10 ans et 150 000 € pour les documents publics ou officiels (article 441-2).