Comment vérifier l'authenticité d'une fiche de paie reçue en PDF

Pourquoi le PDF ne prouve plus rien

Un PDF se modifie en quelques clics. LibreOffice Draw, Inkscape, Adobe Acrobat, ou simplement un éditeur en ligne gratuit suffisent à remplacer un montant, déplacer un logo, ou recoller deux pages. Le résultat passe les contrôles visuels élémentaires : la mise en page est propre, le tampon est là, le total est cohérent.

Le phénomène est documenté. D'après une étude Imodirect relayée fin 2024, 23 % des dossiers de location en Île-de-France contenaient au moins un document frauduleux, soit une hausse de 15 % en un an. Hors grandes métropoles, la fraude touche 12,1 % des dossiers — une progression de 20 % sur un an. La FNAIM situe la fourchette nationale entre 10 et 25 % selon les régions.

Côté droit, la chose est sans ambiguïté : la production d'un faux est un délit puni de 3 ans d'emprisonnement et 45 000 € d'amende (art. 441-1 du Code pénal). Mais l'épée de Damoclès n'arrête rien si personne ne contrôle. La vérification est à la charge du destinataire, pas de l'expéditeur.

Le test arithmétique qui prend 30 secondes

Avant toute analyse forensique, un calcul élémentaire élimine la majorité des faux amateurs. Sur chaque bulletin figurent deux lignes : le net imposable du mois et le cumul net imposable depuis janvier.

La relation est triviale :

Cumul net imposable mois N
  = Cumul net imposable mois N-1
  + Net imposable du mois N

Demander deux bulletins consécutifs et poser l'addition règle le sort d'un faux mal fabriqué : les fraudeurs gonflent le salaire du mois, oublient de mettre à jour le cumul, et la divergence saute aux yeux. Sur un dossier de location, demander trois bulletins (souvent les trois derniers) permet en plus de vérifier la cohérence des cotisations sociales d'un mois à l'autre — les taux URSSAF ne bougent pas d'un bulletin à l'autre.

Lire les métadonnées du PDF

Tout PDF embarque des métadonnées : logiciel qui l'a produit, date de création, date de modification, auteur déclaré. Ces champs sont les premiers à trahir un faux.

Sur n'importe quel système (Windows, macOS, Linux), exiftool lit ces champs en une commande :

exiftool bulletin-mars.pdf

Sortie typique d'un bulletin légitime produit par un logiciel de paie (Sage, Silae, PayFit, etc.) :

Producer        : Sage Paie 2024
Creator         : Sage Production
Create Date     : 2026:03:31 18:42:11+01:00
Modify Date     : 2026:03:31 18:42:11+01:00

Sortie typique d'un bulletin retouché :

Producer        : iLovePDF / Skia/PDF / LibreOffice 24.2
Creator         : Microsoft® Word
Create Date     : 2026:04:18 23:47:03+02:00
Modify Date     : 2026:04:19 00:12:55+02:00

Trois signaux d'alerte concrets

• Producer générique (iLovePDF, Skia/PDF, Microsoft Word, LibreOffice) sur un document censé sortir d'un SIRH professionnel.
• Date de création postérieure à la date du bulletin — un bulletin de mars créé fin avril, c'est suspect.
• Date de modification ≠ date de création — un bulletin original n'est jamais réouvert et resauvegardé.

Sous Windows, pour qui n'installe pas exiftool, un clic droit → Propriétés → Détails affiche déjà la plupart de ces champs.

Mise en garde honnête : un fraudeur averti efface les métadonnées (exiftool -all= bulletin.pdf) ou les réécrit. L'absence de signal négatif ne prouve donc rien. Mais en pratique, la majorité des faux circulant aujourd'hui conservent leurs traces.

Vérifier les empreintes — quand on a l'original sous la main

C'est la situation idéale, et celle que les services RH peuvent industrialiser : si l'émetteur a calculé une empreinte cryptographique du document à l'émission, le destinataire la recalcule à la réception et compare. Une seule modification d'un seul pixel change l'empreinte.

L'empreinte SHA-256 se calcule en une ligne :

# Linux / macOS
shasum -a 256 bulletin-mars.pdf

# Windows PowerShell
Get-FileHash -Algorithm SHA256 bulletin-mars.pdf

# Avec openssl
openssl dgst -sha256 bulletin-mars.pdf

Sortie :

e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855  bulletin-mars.pdf

64 caractères hexadécimaux. Si l'empreinte reçue du service paie est identique, le document n'a pas été touché entre l'émission et la lecture. Si elle diffère d'un seul caractère, le PDF a été modifié.

L'empreinte SHA-256 constitue un élément technique d'intégrité que les juges retiennent régulièrement comme indice probant dans les contentieux documentaires — sans pour autant constituer à elle seule une preuve juridique autonome. C'est un argument fort, à combiner avec les autres canaux de vérification (contact employeur, attestation signée).

Recouper avec une source externe

Quand le doute persiste après les contrôles techniques, deux recoupements bouclent l'enquête.

Avis d'imposition

Le revenu fiscal de référence affiché sur l'avis d'impôt correspond, à quelques milliers d'euros près, à la somme des nets imposables annuels. Le service vérification du DGFiP (impots.gouv.fr/verifavis) permet de contrôler l'authenticité d'un avis fourni — il suffit du numéro fiscal et de la référence de l'avis. C'est gratuit, immédiat, et plus dur à truquer qu'un bulletin.

Attestation employeur

Un coup de fil au service RH ou DAF pour confirmer le poste, l'ancienneté et la fourchette de rémunération. C'est manuel, mais c'est ce qui termine la vérification.

Ce que les contrôles visuels ne voient pas

Il y a une famille d'attaques que ni l'œil ni l'arithmétique n'attrapent : les overlays. Un faussaire ouvre le PDF original dans un éditeur, ajoute une couche de texte par-dessus le montant initial (rectangle blanc + nouveau chiffre), et resauvegarde. Visuellement, c'est parfait. Le total ligne par ligne est cohérent (le faussaire a aussi mis à jour les autres champs). L'addition cumul/mois passe (s'il a aussi recalculé le cumul).

Ce que voit en revanche un analyseur PDF, c'est la structure du fichier : deux objets texte superposés au même emplacement, un calque ajouté après la création initiale, un xref incrémental qui révèle plusieurs sauvegardes successives. C'est ce que font les outils d'analyse forensique automatisés — et ce que produit, par construction, une comparaison d'empreintes : un seul octet de différence et le hash diverge.

FAQ

Un PDF protégé par mot de passe est-il forcément authentique ?

Non. La protection par mot de passe empêche l'édition par l'utilisateur final, mais elle n'empêche pas un fraudeur de générer un nouveau PDF protégé à partir d'un document modifié. La protection n'est pas une preuve d'origine.

Un bulletin signé électroniquement est-il infalsifiable ?

Une signature électronique qualifiée (eIDAS) garantit l'identité du signataire et l'intégrité du document depuis la signature. Beaucoup de bulletins circulent en revanche avec une simple mention « signé électroniquement » imprimée comme une image — ce qui n'apporte aucune garantie technique. Le vrai test : ouvrir le PDF dans Adobe Acrobat et vérifier le panneau Signatures.

Combien de temps faut-il pour vérifier un dossier complet ?

Le test arithmétique sur deux bulletins prend 30 secondes. La lecture des métadonnées exiftool, 10 secondes par fichier. La vérification de l'avis d'imposition sur impots.gouv.fr, 1 à 2 minutes. Pour un dossier de location standard (3 bulletins + 1 avis), comptez 5 à 8 minutes au total. Largement rentable rapporté au coût d'un impayé.

Les outils d'IA peuvent-ils détecter les faux automatiquement ?

Plusieurs services (Klippa, Koncile, TrustDocHub, etc.) industrialisent l'analyse — métadonnées, overlays, polices, cohérence arithmétique. Ils sont utiles à grande échelle (bailleurs institutionnels, banques, gestionnaires de paie externalisés) mais le contrôle manuel décrit ici reste accessible à tout particulier.

Que faire face à un document suspect ?

Refuser le dossier sans accusation publique, demander un complément (avis d'imposition, attestation employeur signée, RIB). Le faussaire abandonne en général à la deuxième demande de pièce justificative. En cas de préjudice avéré, le dépôt de plainte au commissariat ou en ligne sur la plateforme PERCEVAL/THESEE est possible — la falsification de document est punie de 3 ans d'emprisonnement et 45 000 € d'amende.