Afficher tout Cacher Tout

Recherche

Déclaration officielle : Réponse de X-VPN au rapport sur le chargement latéral des DLL Windows

Écrit par : Sandra Mitchell

Juin 05, 2026

Official Statement: X-VPN's Response to the Windows DLL Side-Loading Report

Introduction

X-VPN a récemment reçu un rapport décrivant un scénario de sideloading de DLL dans le client Windows qui ne s’applique qu’aux copies altérées et reconditionnées obtenues à partir de sources non officielles, et non aux utilisateurs qui ont téléchargé X-VPN depuis notre page de téléchargement officielle pour Windows ou le Microsoft Store. Sur la base de notre propre enquête, nous n’avons trouvé aucune preuve que les utilisateurs de X-VPN aient été ciblés ou compromis par ce scénario, et nous avons déployé des mesures de renforcement dans X-VPN pour la version Windows 77.5.3. Tous les utilisateurs de Windows sont encouragés à mettre à jour vers cette version dès que possible.

Dans un esprit de transparence et de responsabilité, nous partagerons les détails du rapport, son véritable champ d’application et les actions que nous avons entreprises.

Chronologie des réponses

18 mai 2026 — L’équipe de recherche sur les menaces de la cellule Howler chez Cyderes a signalé le problème à l’équipe de sécurité de X-VPN.
20 mai 2026 — X-VPN a accusé réception du rapport et a escaladé le problème pour une enquête interne et une remédiation.
28 mai 2026 — X-VPN a publié la version 77.5.3 pour Windows, qui comprend les mesures de renforcement décrites dans cette déclaration.

Principales conclusions

Sur la base d’une vérification axée sur la conformité, nous avons tiré les conclusions suivantes :

Le client officiel X-VPN pour Windows est sûr.

Les utilisateurs qui ont téléchargé X-VPN depuis notre page de téléchargement officielle Windows ou le Microsoft Store ne sont pas affectés par le scénario de paquet altéré signalé. L’attaque ne concerne que les utilisateurs qui exécutent une version altérée et reconditionnée de X-VPN obtenue à partir de sources non officielles, telles que des sites de phishing, des forums de piratage ou des liens de téléchargement non sollicités.

Aucune exploitation confirmée en milieu sauvage de X-VPN n’a été identifiée.

Sur la base de notre propre enquête indépendante, nous n’avons trouvé aucune preuve que les utilisateurs de X-VPN ont été ciblés ou compromis par ce scénario. Les chercheurs ayant réalisé le rapport ont également indiqué que leurs conclusions étaient issues d’une analyse de renseignement sur les menaces et d’une ingénierie inverse de l’infrastructure de l’attaquant, plutôt que de cas de victimes observés.

Ce rapport n’implique aucune violation des serveurs, de l’infrastructure ou du chiffrement de X-VPN.

Le problème ne peut pas être déclenché à distance ou par l’utilisation normale du réseau de X-VPN. Aucune donnée utilisateur, compte, identifiants ou trafic VPN du côté de X-VPN n’a été compromis.

Non applicable à toute autre plateforme X-VPN

Ce rapport concerne uniquement le client Windows. Les clients d’X-VPN sur d’autres plateformes, y compris iOS, Android, macOS, Linux, l’extension Chrome, la télévision, le routeur, le Chromebook et la console de jeux, sont construits sur des architectures entièrement différentes qui n’utilisent pas le chargement de DLL Windows. Ces plateformes ne sont pas affectées par ce rapport.

Un durcissement supplémentaire a été déployé dans X-VPN pour la version 77.5 de Windows.3

Bien que le client officiel X-VPN ne soit pas à risque à cause de ce rapport, nous avons mis en place des protections supplémentaires en profondeur pour renforcer le client contre cette catégorie d’attaque. Cette version est maintenant disponible, et tous les utilisateurs de Windows sont encouragés à mettre à jour.

X-VPN a classé ce rapport comme un problème de haute gravité, pas critique.

La classification reflète trois facteurs : le problème ne peut pas être déclenché à distance ou par l’utilisation normale de X-VPN ; le client officiel de X-VPN n’est pas affecté par le chemin d’attaque ; et nous n’avons aucune preuve confirmée d’exploitation en milieu sauvage.

Le comportement signalé est une classe connue de problèmes de sécurité des applications Windows.

Cela peut se produire dans n’importe quelle application Windows qui s’appuie sur le comportement de recherche de DLL par défaut, et y remédier nécessite d’appliquer des politiques de chargement de DLL plus strictes, que X-VPN a maintenant mises en œuvre dans la version 77.5.3.

Ce qui a été rapporté

Comprendre les DLL

Pour comprendre ce qui a été rapporté, il est utile de d’abord comprendre comment fonctionnent les programmes Windows et la définition des DLL.

Un programme Windows n’est rarement un fichier unique. Il se compose généralement d’un exécutable principal (le fichier .exe sur lequel les utilisateurs double-cliquent) ainsi que de nombreux modules de support appelés DLL (Dynamic Link Libraries).

Ces DLL proviennent de deux endroits :

1
DLLs d’application :
Écrit et expédié par le fabricant de logiciels. Ceux-ci sont stockés dans le dossier du programme, à côté du fichier .exe principal.
2
DLLs système :
Fournie par Windows lui-même, stocké dans le dossier système Windows. CRYPTBASE.dll est l’un d’eux, utilisé par d’innombrables applications Windows.

Comment Windows trouve une DLL lorsqu’un programme en a besoin

How Windows Finds A DLL When A Program Needs One

Lorsqu’un programme doit charger une DLL par son nom, Windows la recherche dans l’ordre suivant (simplifié pour la lisibilité) :

Une petite liste protégée maintenue par Windows lui-même, appelée KnownDLLs.

Si le nom de DLL demandé figure sur cette liste, Windows charge toujours la copie authentique à partir du dossier système, et la recherche s’arrête ici.

Le dossier du programme

Si le nom de la DLL n’est pas dans la liste KnownDLLs, Windows vérifie ensuite le dossier du programme.

Le dossier système Windows

Si le DLL n’est pas trouvé dans le dossier du programme, Windows finit par tomber dans le dossier système.

Le CRYPTBASE.dll est une DLL système, mais elle ne figure pas sur la liste des KnownDLLs. Cela signifie que lorsque qu’un programme la demande par son nom, Windows cherchera d’abord dans le dossier du programme, et ne se dirigera vers le dossier système que si aucun fichier portant ce nom n’est trouvé.

Ce comportement de recherche fait partie de Windows par conception depuis des décennies, et chaque application Windows, Chrome, Microsoft Office, Steam, Notepad++, X-VPN, et pratiquement tous les autres programmes sur la plateforme fonctionnent selon cela.

Le scénario d’attaque dans le rapport

Le rapport décrit une manière dont le comportement de recherche mentionné ci-dessus peut être exploité pour exécuter du code malveillant dans le contexte de X-VPN. Il est important de noter que cela ne cible pas une faille dans le client X-VPN lui-même, mais repose entièrement sur le fait de tromper l’utilisateur pour qu’il exécute une version altérée et reconditionnée de X-VPN provenant d’une source non officielle.

L’attaque se déroule comme suit :

Un attaquant prend les fichiers du programme légitime X-VPN de notre site officiel, place un fichier malveillant CRYPTBASE.dll à l’intérieur du dossier, et reconditionne l’ensemble du dossier pour distribution.
L’attaquant distribue ce bundle altéré par le biais de canaux non officiels, de sites de phishing, de forums de pirates, de liens de partage de fichiers ou de messages non sollicités, souvent déguisé en une version « portable » de X-VPN.
Un utilisateur est induit en erreur pour télécharger et exécuter ce paquet altéré.
Lorsque le fichier .exe groupé se lance et commence à charger ses DLL, l’une de ces DLL demande finalement CRYPTBASE.dll par son nom. Suite au processus de recherche décrit ci-dessus, Windows trouve le fichier planté par l’attaquant dans le dossier du programme et le charge. Le code de l’attaquant s’exécute dans la session de l’utilisateur.

Cette chaîne entière dépend d’abord de l’utilisateur exécutant une copie altérée de X-VPN. Pour les utilisateurs qui ont installé X-VPN à partir de sources officielles :

Le programme d’installation officiel de X-VPN ne contient que des fichiers légitimes et signés, aucun DLL malveillant n’est jamais placé dans le dossier d’installation lors d’une installation authentique.
Après l’installation, le dossier du programme X-VPN est protégé par Windows et nécessite des privilèges d’administrateur pour être modifié, ce qui empêche les processus ou utilisateurs ordinaires d’y déposer ultérieurement un DLL malveillant.

L’attaque exploite un utilisateur qui a déjà été trompé en exécutant un logiciel fourni par l’attaquant provenant d’une source non fiable.

Comment cela se rapporte à X-VPN

Ce rapport concerne un problème CWE-427 (Élément de chemin de recherche incontrôlé) dans le client Windows de X-VPN. Comme de nombreuses applications Windows, X-VPN n’imposait pas auparavant de contrôles stricts des chemins ou des signatures lors du chargement de certaines dépendances DLL, ce qui est le comportement sous-jacent décrit par le CWE-427. Nous avons abordé cela dans la version 77.5.3 grâce à des politiques de chargement de DLL plus strictes, une vérification de l’intégrité au démarrage et des autorisations de répertoire renforcées. Comment classer et évaluer cette catégorie de problème est un sujet de débat en cours dans la communauté de la sécurité, y compris le récent rapport CVE-2025-56383 contre Notepad++.

Ce que le rapport décrit, en pratique, est une campagne d’imitation de logiciels malveillants dans laquelle X-VPN est utilisé comme une marque reconnaissable, aux côtés d’autres logiciels légitimes étant reconditionnés de manière similaire par le même acteur, pour attirer les victimes à exécuter des logiciels altérés.

Champ d’application

Que l’utilisateur soit affecté dépend entièrement de d’où provient sa copie de X-VPN. Le tableau ci-dessous résume l’étendue :

Comment X-VPN a été obtenu	Affecté ?
Téléchargé et installé depuis la page de téléchargement officielle de X-VPN pour Windows (https://xvpn.io/download/vpn-win)	❌ Pas affecté
Téléchargé depuis le Microsoft Store	❌ Pas affecté
Téléchargé en tant que version « portable » depuis un site pirate ou un lien inconnu.	⚠️ Potentiellement affecté
Reçu en tant qu’installateur ou package d’un expéditeur inconnu	⚠️ Potentiellement affecté

Comment nous l’avons réparé

X-VPN a mis en œuvre des mesures de renforcement complètes dans la version 77.5.3 pour traiter cette classe de scénario de chargement latéral de DLL dans le client Windows. Ces mesures de renforcement sont désormais disponibles dans X-VPN pour Windows version 77.5.3. Nos mesures de renforcement se répartissent en deux catégories, abordant la manière dont chaque type de DLL est chargé.

1. Chargement plus strict des DLL système

Les DLL système telles que CRYPTBASE.dll sont désormais chargées à partir du dossier système de Windows, peu importe les fichiers présents dans le dossier du programme X-VPN. Cela s’applique aux DLL système à tous les niveaux de la chaîne de chargement. En conséquence, même si une DLL malveillante était placée dans le dossier du programme X-VPN, le client est conçu pour empêcher son chargement à la place du fichier système légitime.

2. Protection multi-couches pour les DLL d’application

Les DLLs de l’application X-VPN doivent, par nécessité, être chargées à partir du dossier du programme, elles ne font pas partie de Windows et n’ont pas d’équivalent dans le chemin système. Nous avons mis en place trois couches de défense indépendantes pour aider à garantir que ces DLL ne peuvent pas être substituées ou altérées :

Contrôles d’accès au répertoire. Le dossier d’installation de X-VPN est protégé par des autorisations du système de fichiers Windows qui nécessitent des privilèges d’administrateur pour être modifiées. Tout processus tentant d’écrire un DLL dans ce dossier sans droits élevés est bloqué par le système d’exploitation.
Vérification de la liste blanche des hachages au démarrage. Chaque fois que X-VPN se lance, le client analyse récursivement chaque DLL dans son dossier de programme et la vérifie par rapport à une liste de hachages connue comme valide. Si une DLL n’est pas sur la liste blanche, ou si son hachage ne correspond pas à la valeur attendue, le client refuse de continuer l’exécution. Cette liste de hachages est compilée directement dans l’exécutable de X-VPN plutôt que stockée en tant que fichier séparé, ce qui signifie qu’elle ne peut pas être altérée seule sans modifier le binaire signé de X-VPN, ce qui invaliderait la signature numérique.
Des politiques de chargement de DLL strictes sont appliquées par processus. Chaque processus X-VPN applique des règles de chargement de DLL renforcées au démarrage, restreignant les emplacements d’où les DLL peuvent être chargées et quelles sources sont considérées comme fiables.

Ensemble, ces mesures aident à garantir que placer un fichier malveillant dans le dossier du programme X-VPN est en soi extrêmement difficile à commencer, mais même dans le scénario hypothétique où un attaquant parvient à le faire, le client est conçu pour détecter la falsification et refuser de s’exécuter. Nous croyons que des défenses proactives et en couches valent la peine d’être mises en œuvre, tant pour traiter le scénario spécifique décrit dans ce rapport que pour renforcer le client Windows de X-VPN contre des schémas d’attaque similaires de manière plus générale.

Ce que les utilisateurs devraient faire

Mettez à jour X-VPN pour Windows version 77.5.3 ou ultérieure.

Cette version inclut les mesures de renforcement supplémentaires décrites dans cette déclaration. Vous pouvez le télécharger depuis notre page de téléchargement officielle pour Windows.

Téléchargez toujours X-VPN uniquement à partir de sources officielles.

Veuillez télécharger X-VPN depuis notre page de téléchargement officielle pour Windows, le Microsoft Store, ou le magasin d’applications officiel de votre plateforme. Évitez les sites de téléchargement tiers, les liens de partage de fichiers ou les installateurs reçus par e-mail ou via des applications de messagerie.

Soyez prudent avec les versions « portables » ou « craquées » de X-VPN.

X-VPN ne distribue officiellement aucune version portable de notre client Windows, tout package de ce type trouvé en ligne doit être considéré comme non fiable.

Si vous soupçonnez que vous avez installé X-VPN à partir d’une source non officielle

Désinstallez-le et réinstallez la version officielle depuis la page de téléchargement officielle de Windows.

Notre engagement envers la sécurité

Nous remercions l’équipe de recherche sur les menaces de cellules Howler chez Cyderes d’avoir porté ce rapport à notre attention par le biais d’un processus de divulgation responsable. L’analyse a été rédigée par Reegun Jayapaul et Rahul Ramesh. Leur blog de recherche couvrant cette divulgation est maintenant disponible. Nous apprécions sincèrement le temps et les efforts que l’équipe a investis dans sa recherche, et nous croyons que la divulgation coordonnée de ce type bénéficie à l’ensemble de la communauté de la sécurité.

X-VPN accueille les contributions des chercheurs en sécurité indépendants. Si vous pensez avoir découvert un problème de sécurité affectant un produit X-VPN, nous vous encourageons à soumettre vos découvertes via notre Programme de Récompense de Bugs, où les rapports valides et reproductibles sont éligibles à des récompenses monétaires qui nous aident à renforcer la sécurité de chaque client X-VPN. Pour des préoccupations de sécurité ou un comportement inhabituel qui pourrait ne pas correspondre à une soumission de vulnérabilité formelle, vous pouvez également contacter directement notre équipe de sécurité à security@xvpn.io. Tous les rapports sont examinés par notre équipe de sécurité, et nous répondons aussi rapidement que possible.

La sécurité n’est pas un effort ponctuel. Nous continuerons à investir dans la protection de nos utilisateurs grâce à un renforcement continu des clients, une communication transparente et un engagement actif avec la communauté de recherche. Des rapports comme celui-ci nous aident à nous améliorer, et nous nous engageons à traiter chacun d’eux avec l’ouverture et le sérieux qu’ils méritent.

La confiance que nos utilisateurs accordent à X-VPN est quelque chose que nous prenons au sérieux, et la gagner est une responsabilité continue que nous accueillons.

FAQ

Is X-VPN sûr à utiliser en ce moment ?

Oui. Le client officiel X-VPN pour Windows téléchargé depuis notre page de téléchargement Windows ou le Microsoft Store est sûr à utiliser. Le rapport de sécurité décrit un scénario où des attaquants reconditionnent X-VPN avec un DLL malveillant et distribuent la version altérée par des canaux non officiels. Les utilisateurs qui ont installé X-VPN depuis nos sources officielles ne sont pas affectés par le scénario de paquet altéré signalé.

Le problème de chargement latéral de la DLL Windows de X-VPN a-t-il été résolu ?

Oui. X-VPN a déployé des mesures de durcissement complètes contre le chargement latéral de DLL et les modèles d’attaque associés, à partir de la version 77.5.3 de X-VPN pour Windows, qui est maintenant disponible. Cela inclut des règles de chargement plus strictes pour les DLL système (comme CRYPTBASE.dll, qui sont désormais chargées exclusivement à partir du répertoire système de Windows), une vérification de hachage au démarrage de chaque DLL dans le dossier d’installation de X-VPN, et des politiques de chargement de DLL strictes appliquées au niveau de chaque processus. La liste blanche de hachage utilisée pour la vérification est intégrée directement dans l’exécutable de X-VPN, de sorte qu’elle ne peut pas être manipulée indépendamment.

Mon installation de X-VPN a-t-elle été piratée ?

Que votre installation de X-VPN soit affectée dépend de votre version et de la manière dont vous l’avez obtenue. Trois scénarios courants :

Scénario 1 : Exécution de la version 77.5.3 ou ultérieure avec une signature numérique valide.
Non affecté. La version 77.5.3 comprend un renforcement qui empêche cette catégorie d’attaque. Vous pouvez vérifier votre version dans l’application et confirmer la signature de l’exécutable en cliquant avec le bouton droit sur le .exe → Propriétés → Signatures numériques.

Scénario 2 : Téléchargé à partir d’une source officielle et installé à l’emplacement par défaut.
Non affecté. Le dossier d’installation par défaut nécessite des privilèges d’administrateur pour être modifié, empêchant les processus ordinaires d’y placer un DLL malveillant.

Scénario 3 : Téléchargé à partir d’une source officielle, mais exécutant une version antérieure à 77.5.3, installé dans un emplacement non par défaut, avec d’autres logiciels malveillants présents sur l’appareil.
Dans cette combinaison, il est théoriquement possible que d’autres logiciels malveillants aient placé un DLL altéré dans le dossier X-VPN. Nous recommandons fortement de mettre à jour vers la version 77.5.3 ou ultérieure, qui ferme ce chemin grâce à des permissions de répertoire plus strictes, une vérification de l’intégrité des DLL et des politiques de chargement par processus.
Si vous n’êtes pas sûr du scénario qui s’applique, l’action la plus sûre est de désinstaller et de réinstaller la dernière version officielle à partir de xvpn.io/download/vpn-win.

Qu’est-ce que CVE-2025-56383 et le problème de X-VPN est-il le même ?

CVE-2025-56383 est un rapport de chargement latéral de DLL contre Notepad++ qui a été formellement contesté par plusieurs parties dans la communauté de la sécurité. La dispute portait sur la manière de classer et d’évaluer cette catégorie de problème, étant donné que l’exploitation nécessite qu’un attaquant place d’abord un fichier malveillant dans le dossier du programme — ce qui, dans la pratique, signifie que l’utilisateur a généralement été trompé pour exécuter un logiciel altéré provenant d’une source non fiable.

Le rapport X-VPN décrit la même classe de problème : CWE-427 (Élément de chemin de recherche non contrôlé) reflète le fait qu’en règle générale, X-VPN, comme de nombreuses applications Windows, n’imposait pas de vérifications strictes des chemins ou des signatures lors du chargement de certaines dépendances DLL. C’est un véritable problème que nous avons résolu dans la version 77.5.3, qui introduit des politiques strictes de chargement de DLL, une vérification d’intégrité au démarrage et des autorisations de répertoire renforcées pour garantir que les dépendances DLL ne sont chargées que depuis des emplacements de confiance. Plutôt que de se concentrer sur la manière dont le problème sous-jacent est classé dans l’industrie, nous avons donné la priorité à la mise en place de protections qui réduisent de manière significative le risque pour nos utilisateurs.

Comment signaler un problème de sécurité à X-VPN ?

Les chercheurs en sécurité et les utilisateurs peuvent signaler des problèmes de sécurité à X-VPN par deux canaux :
– Pour les rapports de vulnérabilité formels éligibles à des récompenses monétaires : soumettez-les via notre Programme de Récompense de Bugs
– Pour des préoccupations de sécurité générales, un comportement suspect ou des questions : envoyez un e-mail à notre équipe de sécurité à security@xvpn.io
Tous les rapports sont examinés par notre équipe de sécurité, et nous répondons aussi rapidement que possible.

Article by

Sandra Mitchell

Sandra Mitchell, l'écrivaine de X-VPN, est une défenseure amicale de la vie privée et de la sécurité en ligne, passionnée par la cybersécurité et les dernières tendances technologiques. Grâce à son écriture engageante, Sandra permet aux lecteurs de contrôler leur vie privée numérique. Au-delà de l'exploration des subtilités des VPN, elle aime les aventures en plein air, la littérature et partager l'importance de la sécurité en ligne avec les autres.