J’avais récemment conseillé d’éviter MSN et de passer à Jabber pour éviter les écoutes de type MITM. Il semblerait que je me sois trompé dans le cas de Gajim.
En effet, si la connexion au serveur se fait par SSL, aucune vérification de certificat n’est effectuée. Il s’ensuit qu’une attaque par MITM qui proposerait un faux certificat (dsniff) tromperait aisément Gajim. Vos communications dont votre mot de passe seraient alors communiquées au pirate.
Le projet Gajim est apparemment au courant de cette faille qui sera corrigée dans la version 0.12.
Bien sur les chiffrement de bout en bout style PGP restent le plus sûrs.