fix: sécurité — remote SSH + vérification GPG à l'installation

- Remote origin passé en SSH (token retiré de l'URL)
- make install dépend de make verify (vérifie la signature GPG du dernier tag)
- Sans tag signé : avertissement non bloquant (bootstrap)
- Avec tag signé et clé invalide : erreur bloquante
- DEVELOPER.md : instructions pour signer les tags de release
- README.md : mention de l'import de clé GPG

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

README.md

@@ -10,8 +10,15 @@ cd scripts-bash
 make install
 ```
 
-`make install` copie les scripts dans `~/.local/bin`, les pages man dans `~/.local/share/man/man1`,
-et ajoute `~/.local/bin` au `PATH` dans `~/.bashrc` si nécessaire. Rechargez votre terminal après l'installation.
+`make install` vérifie la signature GPG du dernier tag, copie les scripts dans `~/.local/bin`,
+les pages man dans `~/.local/share/man/man1`, et ajoute `~/.local/bin` au `PATH` dans `~/.bashrc`
+si nécessaire. Rechargez votre terminal après l'installation.
+
+Pour que la vérification GPG fonctionne, importez la clé publique du développeur au préalable :
+
+```bash
+gpg --keyserver keys.openpgp.org --recv-keys <ID_CLÉ>
+```
 
 ## Scripts