Skip to content
Détection IA & DeepfakeNouveau

Signaux IA, synthétiques, deepfakes

Cas clientTarifsSécuritéComparatifBlog
GlossaireGuides paysChecklistsCalculateur ROI

Europe

Americas

Oceania

Guide11 min de lecture

Analyse de niveau d'erreur (ELA) : détecter les documents falsifiés

L'analyse de niveau d'erreur (ELA) révèle les retouches sur les images JPEG. Guide complet pour détecter bulletins de paie, relevés bancaires et pièces d'identité falsifiés.

L'équipe CheckFile
L'équipe CheckFile·
Illustration for Analyse de niveau d'erreur (ELA) : détecter les documents falsifiés — Guide

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

L'analyse de niveau d'erreur (ELA, de l'anglais Error Level Analysis) identifie les zones d'une image JPEG qui ont été modifiées numériquement en mesurant les incohérences de compression au niveau du pixel. Lorsqu'un fraudeur retouche un bulletin de paie, un relevé bancaire ou une pièce d'identité avant de l'enregistrer en JPEG, les zones modifiées conservent une signature de compression différente du reste de l'image d'origine — et l'ELA rend cette différence visible en quelques secondes.

Selon le rapport 2024 de l'ACFE (Report to the Nations), seulement 37 % des fraudes documentaires sont détectées par les contrôles manuels. L'analyse forensique des images, dont l'ELA, comble l'angle mort que l'examen visuel ne peut pas fermer.

Qu'est-ce que l'analyse de niveau d'erreur ?

L'ELA est une technique forensique qui révèle les manipulations dans les images JPEG en exploitant l'algorithme de compression avec pertes propre au format. Lorsqu'un fichier JPEG est enregistré à un niveau de qualité donné, l'encodeur applique des transformées en cosinus discrètes (DCT) à des blocs de 8×8 pixels sur l'ensemble de l'image, en éliminant les détails inférieurs à un seuil fixé. Après ce traitement, chaque bloc de l'image atteint approximativement le même niveau d'erreur résiduel — le « plancher » d'artefacts de compression propre à ce niveau de qualité.

Quand quelqu'un modifie un JPEG — en remplaçant un chiffre de salaire, en échangeant une photographie, ou en altérant une date — la zone éditée provient d'une source différente ou a subi un cycle de compression distinct. La ré-enregistrement du fichier composite crée un décalage : les pixels originaux non modifiés sont compressés une seconde fois et perdent davantage de détails, tandis que la zone insérée, compressée pour la première fois ou issue d'un autre encodage, conserve un profil différent.

L'ELA rend ce décalage visible. La procédure standard, formalisée par le chercheur en sécurité Neal Krawetz lors de la conférence Black Hat USA 2007, consiste à :

  1. Ré-enregistrer l'image à un niveau de qualité connu (généralement 95 %).
  2. Calculer la différence absolue pixel par pixel entre la version ré-enregistrée et l'original.
  3. Mettre à l'échelle les différences pour les rendre visibles et afficher le résultat sous forme de carte thermique — les zones plus lumineuses indiquent des niveaux d'erreur élevés et une possible manipulation.

Comment l'ELA détecte les retouches sur les documents

Un document authentique, non altéré, présente une luminosité relativement uniforme sur la carte ELA, exception faite des effets de bord prévisibles aux contrastes élevés entre le texte imprimé et le fond blanc. Ces effets de bord sont structurellement attendus et produisent des niveaux d'erreur élevés dans tout JPEG non modifié.

Un document falsifié présente deux signatures caractéristiques :

Des zones anormalement lumineuses dans les régions plates. Le texte, les chiffres ou les graphiques insérés depuis une source externe conservent leurs caractéristiques de compression d'origine. La frontière entre le contenu inséré et le contenu original brille souvent dans la carte ELA, même lorsque la différence visuelle est imperceptible à l'œil nu.

Des zones anormalement sombres là où du contenu a été effacé. Quand un fraudeur recouvre du contenu original — par exemple en effaçant un montant de salaire pour en inscrire un autre — la zone recouverte peut afficher des niveaux d'erreur anormalement faibles par rapport au texte adjacent original, car elle a été aplatie par des cycles de compression supplémentaires.

Ces deux signatures sont détectables même après une retouche professionnelle, parce que les mathématiques de compression sous-jacentes ne peuvent pas être masquées simplement en faisant correspondre les polices ou en ajustant les valeurs de couleur.

Types de documents où l'ELA est la plus efficace

L'ELA est la plus fiable sur les documents dont l'original est un scan ou une photographie JPEG. La technique est moins utile pour les PDF natifs ou les fichiers PNG, qui utilisent des schémas de compression sans perte ou différents.

Type de document Manipulation typique Signal ELA
Bulletins de paie (scan JPEG) Salaire, net à payer ou période altéré Halo lumineux autour des chiffres modifiés
Relevés bancaires (photographie) Solde ou montant de transaction modifié Plancher d'erreur incohérent dans les colonnes de chiffres
Cartes d'identité (photographie) Nom, date de naissance ou photo substitué Artefacts de limite autour des éléments insérés
Factures (scan JPEG) Montant total ou numéro de TVA remplacé Zone plate là où les données originales ont été effacées
Contrats de location (scan) Nom du signataire altéré Bord de recompression visible autour du bloc de texte

La fraude sur les bulletins de paie est l'une des applications les plus fréquentes. Les établissements de crédit et les bailleurs reçoivent régulièrement des bulletins de paie scannés avec des salaires gonflés ; l'ELA, combinée à l'analyse des métadonnées PDF, offre une double vérification qui détecte la plupart des falsifications grossières.

Prêt à automatiser vos vérifications ?

Pilote gratuit sur vos propres documents. Résultats en 48 h.

Demander un pilote gratuit

Mettre l'ELA en pratique : procédure et outils

L'outil public le plus utilisé est FotoForensics, qui implémente l'algorithme original de Krawetz. Les plateformes forensiques et les systèmes commerciaux de vérification documentaire intègrent généralement l'ELA dans un pipeline plus large d'analyse d'image.

Un processus pratique pour les équipes conformité :

  1. Extraire l'image du document. Convertir les PDF scannés en exports JPEG page par page à la résolution d'origine. Ne pas recompresser lors de l'extraction.
  2. Lancer l'ELA à un niveau de qualité fixe. La qualité 75 est un point de référence standard ; la qualité 95 met en évidence les altérations subtiles.
  3. Inspecter les régions plates et les zones de texte. Signaler toute zone où la distribution du niveau d'erreur s'écarte de la ligne de base environnante.
  4. Recouper avec les métadonnées. La date de création, le logiciel producteur et l'historique de révision XMP doivent être cohérents avec l'origine déclarée du document.
  5. Comparer avec un échantillon de référence. Lorsque c'est possible, demander un second document du même type émis par le même organisme pour comparer les signatures de compression de référence.

Aucun outil ne produit à lui seul un verdict définitif de falsification. Les résultats ELA sont des indicateurs pour une investigation approfondie, non des preuves à eux seuls.

Limites de l'analyse de niveau d'erreur

Comprendre les échecs de l'ELA est aussi important que de savoir où elle réussit. À juin 2026, les scénarios suivants réduisent la fiabilité de l'ELA :

Cycles de compression multiples. Un document imprimé puis rescanné, ou passé par plusieurs étapes d'encodage JPEG, présente une carte d'erreur aplatie et homogène qui dissimule les retouches antérieures. Les fraudeurs professionnels exploitent ce phénomène en ré-exportant les images plusieurs fois avant soumission.

Logiciels d'édition haute qualité. Les outils qui gèrent nativement l'encodage JPEG — dont Adobe Photoshop en mode « Enregistrer pour le Web » à qualité maximale — peuvent réduire le décalage entre zones éditées et zones originales, notamment à des niveaux de qualité supérieurs à 90.

Formats sans perte. L'ELA ne s'applique pas aux fichiers PNG, TIFF ou PDF générés directement depuis un traitement de texte. Pour ces formats, l'analyse des métadonnées et l'inspection structurelle sont les méthodes de détection principales.

Artefacts ELA natifs en bordure. Les limites haute-contraste entre texte et fond présentent toujours des niveaux d'erreur élevés. Les interpréter comme des indicateurs de falsification sans examiner le contexte environnant produit des faux positifs.

Documents générés par IA. Les documents produits par des modèles génératifs ne sont pas assemblés à partir d'une source JPEG et ne présentent donc pas de décalage ELA détectable. Ils nécessitent une couche de détection distincte, axée sur les artefacts de génération et les signatures de modèle. La détection IA de CheckFile traite cette classe de falsification séparément.

Selon le rapport ENISA Threat Landscape 2024, la sophistication des outils de falsification documentaire accessibles aux acteurs non techniques est en hausse. L'ELA doit donc être considérée comme une couche parmi d'autres dans une approche de défense en profondeur.

Combiner l'ELA avec d'autres techniques forensiques

Une approche analytique multi-couche combinant l'ELA, l'inspection des métadonnées et la vérification de la cohérence inter-documents représente la méthodologie la plus fiable pour identifier les images de documents manipulées. Aucune technique unique ne couvre tous les vecteurs d'attaque.

La forensique des métadonnées examine l'empreinte numérique intégrée dans le fichier : date de création, logiciel producteur PDF, historique de révision XMP, et données EXIF pour les photographies. Un bulletin de paie dont l'horodatage EXIF indique une modification trois heures après la date de paie déclarée est un signal d'alarme immédiat.

L'analyse de la structure de fichier inspecte la structure interne en octets des PDF et des images à la recherche d'anomalies : flux d'objets dupliqués, blocs de données orphelins, ou tables de références croisées incohérentes indiquant une injection de contenu.

La cohérence inter-documents valide que deux documents provenant de la même entité (par exemple plusieurs bulletins de paie du même employeur) partagent les mêmes polices, métriques de mise en page et structure d'objets intégrés. Des incohérences apparaissent lorsqu'un document de l'ensemble a été produit depuis un modèle différent.

La détection des signaux de génération IA identifie les patterns propres aux documents synthétiques créés par des modèles génératifs. Notre comparaison des outils forensiques documentaires et de l'IA couvre ce sujet en détail.

Ensemble, ces techniques offrent une couverture qui se recoupe : lorsqu'un fraudeur contourne un contrôle — par exemple en utilisant un intermédiaire sans perte pour aplatir les signaux ELA — les autres couches font généralement apparaître des anomalies différentes.

Cadre réglementaire en France

Au 24 juin 2026, les entités assujetties françaises relevant de la réglementation LCB-FT — banques, assureurs, agents immobiliers, notaires, experts-comptables, avocats — sont soumises aux obligations de vigilance définies dans le Code monétaire et financier, article L561-5 et suivants. L'ACPR et Tracfin n'imposent pas de méthodes techniques spécifiques pour la vérification documentaire, mais exigent des dispositifs « adaptés au risque » capables de détecter les documents falsifiés dans les processus d'entrée en relation et de surveillance continue.

L'ELA, intégrée dans un workflow forensique documenté, satisfait le standard de « vigilance adaptée au risque » lorsqu'elle est appliquée de manière systématique et que les résultats sont consignés dans le dossier de risque client. Les entités doivent s'assurer que les sorties ELA sont journalisées avec le raisonnement décisionnel pour étayer les pistes d'audit exigées par Tracfin.

Pour approfondir vos pratiques de vérification documentaire, consultez notre guide de vérification des documents.

Questions fréquemment posées

Qu'est-ce que l'ELA montre concrètement ?

L'ELA montre où le schéma de compression d'une image s'écarte de ce qui serait attendu si l'image n'avait jamais été modifiée. Les zones plus lumineuses dans le résultat ELA indiquent des régions ayant subi des cycles de compression supplémentaires ou provenant d'une source différente, deux situations qui suggèrent une modification post-capture.

L'ELA peut-elle détecter tous les types de falsifications documentaires ?

Non. L'ELA est efficace sur les documents JPEG non altérés par de multiples cycles de recompression. Elle ne détecte pas les modifications dans les formats sans perte (PNG, PDF natif) ni dans les documents générés par IA, qui n'ont pas de schéma de compression JPEG original dont ils pourraient s'écarter.

Quels outils gratuits puis-je utiliser pour l'ELA ?

FotoForensics (fotoforensics.com) est l'implémentation en ligne gratuite la plus utilisée de l'algorithme de Neal Krawetz. Il accepte les uploads JPEG et PNG et renvoie une carte ELA annotée. Pour la vérification documentaire à l'échelle de la production, les plateformes commerciales intègrent l'ELA dans un pipeline automatisé plus large.

Comment l'ELA se distingue-t-elle de l'analyse des métadonnées ?

L'ELA analyse le schéma de compression au niveau pixel pour détecter où le contenu visuel a pu être modifié. L'analyse des métadonnées examine les données embarquées non visibles (dates de création, logiciel, historique de révision) pour détecter quand et comment le fichier a été modifié. Ces deux approches sont complémentaires : l'ELA identifie OÙ dans l'image une modification a eu lieu ; l'analyse des métadonnées révèle QUAND et COMMENT le fichier a été altéré.

Les résultats ELA sont-ils admissibles devant les tribunaux français ?

Les résultats ELA peuvent étayer des rapports forensiques rédigés par des experts qualifiés, mais la seule sortie ELA ne constitue pas une preuve autonome de falsification devant les juridictions françaises. Elle est utilisée comme indicateur préliminaire déclenchant une investigation plus approfondie. La recevabilité dépend de la méthodologie de l'expert, de la chaîne de garde et de la documentation de l'analyse.

Restez informé

Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.

Prêt à automatiser vos vérifications ?

Pilote gratuit sur vos propres documents. Résultats en 48 h.

Articles associés

Guide11 min

Détection du tampering des métadonnées PDF : guide complet

Comment détecter un document PDF altéré grâce à l'analyse des métadonnées : techniques forensiques, outils, signaux d'alerte et obligations réglementaires pour les professionnels.

Lire
Guide12 min

Former votre équipe aux indices visuels des documents IA

Guide pratique pour former vos équipes à détecter les documents générés par IA : 7 indices visuels clés, programme en trois niveaux et obligations ACPR 2025.

Lire
Guide11 min

Souscription en assurance habitation au Québec : détecter les documents falsifiés en 2026

Comment les assureurs et cabinets de courtage québécois détectent les fausses preuves d'adresse, coordonnées bancaires et baux résidentiels à la souscription. Encadrement AMF, LDPSF, Loi 25 et outils de détection.

Lire