Tout dépend de ce que tu appelles sécuriser.
Est-ce que tu veux que ta conversation ne puisse pas être intercepté, ou juste qu'elle ne soit pas enregistrée ?
Facebook est le top du non sécurisé : tout ce que tu écris est connu de tous (au minimum de tes contacts) et peut être exploité par l'éditeur du logiciel (tu n'est pas propriétaire de tes messages).
MSN, yahoo et GTalk permettent la transmission de tiers à tiers (le message est perdu une fois qu'il est transmis) mais le flux réseau n'est pas crypté et peut-être donc être intercepté et écouté. Éventuellement la conversation peut aussi être conservé par l'un et/ou l'autre des interlocuteur.
Skype crypte le flux réseau, mais ne donne pas d'indication sur la protection qu'il propose. Il est donc possible que le flux puisse être intercepté et écouté par les éditeurs du logiciels ou des personnes qui auraient accès aux codes. L'opacité sur le protocole d'échange (qui a tendance à saturer les réseaux) et de cryptage a d'ailleurs poussé les autorités française à interdire son utilisation dans les universités et dans les entreprises françaises ayant une production stratégique (en même temps que les Blackberry).
Il faut savoir que tous les services de messagerie instantanée passent par des serveurs centraux qui sont tous capable, techniquement, d'enregistrer les conversations bien que les éditeurs s'engagent à ne pas le faire.
Ensuite, une autre approche consiste à la sécurisation des comptes (l'impossibilité d'utiliser de te faire usurper ton compte ou de voir les informations disponibles sur le compte d'à côté). Si on excepte tous les problème de complexité des mots de passe. En principe, il existe un protocole de vérification de la connaissance des mots de passe qui permet de ne pas le transmettre sur le réseau, même en crypté. Cependant, le web ne permet pas cette approche (tout ce qui s'utilise dans un navigateur web). MSN a l'air d'utiliser cette méthode, mais je ne peux pas le garantir (je n'ai fait que de l'analyse de flux). Les échanges étant cryptés sur Skype, je n'ai pas pu déterminer le protocole utilisé, quant à Yahoo et GTalk, je n'ai pas encore fait d'analyse. Si le mot de passe est transmis, en clair ou en hachage standard, il est possible pour une personne qui intercepte le message de se faire passer pour le possesseur réel du compte.
Encore, un virus sur un poste peut essayer d'intercepter le mot de passe lors de la frappe, ou d'utiliser le logiciel à l'insu de l'utilisateur lorsque celui-ci est connecté au service. Il peut également essayer d'intercepter les conversations et de les transmettre sur un autre canal.
Enfin, un faille dans un logiciel peut faciliter le piratage d'un compte, voire du poste, comme indiqué par d'autres personnes, il ne faut pas ouvrir n'importe quel lien proposé sous risque de se faire infecter par un virus. Les attaques tendent à devenir plus difficiles à mesure qu'elles sont connues et protégés sur les logiciels. Les développeurs apprennent également à anticiper les attaques et protègent les logiciels à priori.
Voilà l'état aujourd'hui. Le protocole d'échange d'informations le mieux sécurisé reste le mail, mais savoir se servir d'un système de cryptage reste assez complexe.
Edit : Pour ma dernière phrase un petit changement : le protocole d'achange le mieux SECURISABLE reste le mail.
@Sonor7_CM :
Les cookies ne sont pas en soit un problème de sécurité. Il s'agit d'une information stockée sur le poste du client (dans le sens client réseau, càd utilisateur d'une ressource) pour pouvoir l'indentifier. Par ailleurs, les cookies n'ont rien à voir avec les programmes de messageries instantanées qui est la question posée ici (exception faite de Facebook).
Mais pourquoi vouloir indentifier un utilisateur ? En fait, contrairement à un protocole réseau classique qui consiste à maintenir une connexion ouverte entre le client et le serveur, le protocole HTTP coupe sa connexion une fois la ressource chargée sur le client (une page, une image, un script...). Ceci signifie qu'une fois la ressource chargée, le serveur est incapable de reconnaitre le client s'il vient à demander une nouvelle ressource, d'autant plus que plusieurs ordinateurs peuvent partager la même adresse IP. Pour palier à ce problème, les concepteurs des navigateurs Web ont mis en place un système de stockage d'information sur le poste client conservées pendant la durée d'utilisation du navigateur (cookies de session) ou plus longtemps (cookies d'indentification).
Les cookies posent deux problèmes.
En premier, transmis sur les réseau, ils peuvent être interceptés par un tiers et réutilisés par celui-ci. Si l'accès à un site se fait par mot de passe, il peut se faire passer pour un utilisateur déjà enregistré sur le site. La parade consistant pour l'exploitant du site web à utiliser un protocole sécurisé (https = http/ssl).
Le deuxième, c'est la transmission correcte des cookies. En principe, il sont censé n'être envoyés qu'au site qui les a émis, parfois limité à une URL en particulier. Sur les vieux navigateurs, une image appartenant à une site tiers recevait le cookie de la page principale dans laquelle il était affiché. Ce problème est résolu. Les ressources n'appartenant pas à la page principale ne peuvent d'ailleur plus, par défaut, recevoir de cookies d'identification et les ressources non sécurisées dans un environnement sécurisé ne sont plus chargées.
Le deuxième, c'est qu'un exploitant de site web peut effectivement utiliser les cookies pour optimiser à son profit l'"expérience utilisateur", mais c'est un processus lourd et inefficace, il est nettement plus pertinent de pousser les utilisateurs à créer un compte pour accéder à des ressources particulières (personnalisation de l'interface du site par exemple) et de stocker sur son serveur les historique de navigation de l'utilisateur connecté.