Sécurité & authenticité

Vérifier que ce contenu provient bien de Teddy JEAN-BAPTISTE

Les articles publiés sur ce blog peuvent être signés numériquement avec une clé OpenPGP (GPG). Cette signature ne protège pas contre la copie, mais permet à tout lecteur de vérifier de façon indépendante qu'un article a bien été publié et signé par Teddy JEAN-BAPTISTE, et que son contenu n'a pas été modifié depuis sa signature.

Ce que la signature atteste

  • Provenance : le contenu provient bien du détenteur de la clé privée (Teddy JEAN-BAPTISTE, via une YubiKey physique).
  • Intégrité : le contenu n'a pas été modifié depuis l'instant de la signature.
  • Relecture et validation humaine : plusieurs articles sont co-écrits avec des agents IA (ChatGPT, Claude). La signature certifie que Teddy JEAN-BAPTISTE a relu et validé le contenu final avant publication — l'IA peut avoir contribué à la rédaction, la responsabilité éditoriale reste humaine.

🔑Clé publique GPG

Empreinte (fingerprint)

1B9B FDBE 03A5 173D 3939 3924 3F52 DB76 391A 52ED

Serveur de clés

La clé publique à jour est disponible sur keys.openpgp.org, un serveur qui vérifie la propriété de chaque adresse email associée à la clé avant de l'exposer publiquement.

https://keys.openpgp.org/vks/v1/by-fingerprint/1B9BFDBE03A5173D393939243F52DB76391A52ED

Identités (UID) vérifiées

  • Teddy JEAN-BAPTISTE<>
  • Teddy JEAN-BAPTISTE<>

Vérifier un article signé

Chaque article signé est accompagné de deux fichiers de preuve, accessibles depuis la page de l'article : une signature détachée (.asc) et une empreinte sha256 (.sha256) du contenu source.

  1. 1. Récupérer la clé publique depuis keys.openpgp.org
    gpg --keyserver hkps://keys.openpgp.org --recv-keys 1B9BFDBE03A5173D393939243F52DB76391A52ED
  2. 2. Télécharger le fichier source de l'article ainsi que sa signature (.asc)
  3. 3. Vérifier la signature avec GPG
    gpg --verify fr.mdx.asc fr.mdx

Une signature valide confirme deux choses : le contenu provient bien du détenteur de la clé privée, et il n'a pas été altéré depuis la signature.

🔄Rotation des clés

La clé de signature a une durée de vie limitée et doit être renouvelée avant expiration. La procédure est documentée en vidéo ci-dessous : renouvellement d'une clé GPG expirée et synchronisation avec GitHub. Les anciennes clés publiques restent conservées afin que les articles déjà signés restent vérifiables.

Renouveler une clé GPG expirée pour GitHub — Signature Git

Renouveler une clé GPG expirée et synchroniser avec GitHub via glab

⚠️Ce que cette preuve ne couvre pas

Une signature GPG prouve l'authenticité et l'intégrité du contenu signé au moment de la signature. Elle n'empêche pas la copie du texte, ne garantit pas la disponibilité future du contenu, et ne couvre pas les modifications éditoriales publiées après la signature (auquel cas une nouvelle signature est requise).