Oui, mais ça c'est un risque que tu as avec n'importe quel client. Si tu ne fais pas un contrôle du source et que tu ne vérifies pas que les binaires générés sont exactement les mêmes (avec toutes les difficultés que ça implique), tu ne peux pas être certain que tu n'utilises pas un client corrompu. Et à ce niveau-là, même pas besoin d'avoir un certificat maître : puisque les données sont déchiffrées sur chaque client, il suffit qu'il y en ait un de corrompu et le client lui-même fait office de MITM.