Sous les canapés, sur les seuils, contre les poils d’animaux et les odeurs : c’est là que se gagne désormais la guerre des robots premium. Avec le X60 Max Ultra Complete, Dreame promet le “package ultime” et relance la course aux flagships.

Sur le très haut de gamme, le robot-aspirateur est entré dans une vraie course à l’armement. Chaque marque promet “le plus” : une station plus autonome, une IA plus futée, une aspiration plus démonstrative… et surtout un format capable d’aller là où les anciens modèles échouent, sous les meubles bas. Dans ce contexte, Dreame dégaine le X60 Max Ultra Complete et clame haut et fort : « les frérots, nous, on coche toutes les cases à la fois ! », brandissant d’un geste triomphal un robot ultra-fin, annoncé très puissant, et épaulé par une station qui met l’accent sur l’hygiène.

Bon, mais alors… ce modèle est-il seulement impressionnant… ou différent ? Car sur un marché saturé de “flagships”, le X60 doit éviter le piège du doublon interne face au Dreame X50 Ultra Complete, et du doublon externe face aux nouveaux Roborock Saros. Examinons cela d’un peu plus près…

Roborock ose le robot aspirateur qui grimpe les escaliers : révolution… ou casse-tête ?

Quelques spécifications communiquées par Dreame

Caractéristique Techniques	Dreame X60 Max Ultra Complete
Dimensions	robot : 350 × 350 × 79,5 mm/102,8 mm station : 390 × 423 × 499 mm
Poids	robot : 4,7 kg station : 10,6 kg
Capacité de franchissement d’obstacles	8,8 cm (double marche) /4,5 cm (marche simple)
Lavage de la serpillière	100°C
Puissance d’aspiration	35 000 Pa
Pression vers le sol	15 N
Batterie	6 400 mAh
Autonomie	NC
Temps de charge complète	NC
Bac robot	235 ml
Volume du sac à poussière	3,2 L
Capacité du réservoir d’eau propre / usée	4,2 L / 3,0 L
Vitesse de rotation annoncée	230 tr/min
Assistance vocale	Built-in & third-party
Ajout automatique de détergent	Dual-Solution Compartment
Navigation	VersaLift DToF + 2 caméras IA + lumière latérale 3D structurée + LED + jusqu’à 280+ types d’objets
Brosse principale	HyperStream™ Detangling DuoBrush 2.0

Sur le papier, le X60 Max Ultra Complete frappe fort sur trois points : un gabarit ultra-fin (7,95 cm) rare sur un flagship, une puissance annoncée très élevée (35 000 Pa), et surtout un combo “tout-terrain” avec franchissement jusqu’à 8,8 cm et station 100°C orientée hygiène/odeurs (pratique avec des animaux). Le bémol, c’est que l’autonomie, le bruit et la performance réelle restent à vérifier pour avoir un portrait vraiment fiable de ce nouveau candidat !

Pourquoi Dreame mise tout sur le profil bas… et sur la station

À ce niveau de gamme, Dreame ne cherche plus à “réinventer” le robot-aspirateur : l’enjeu, c’est plutôt de réduire les compromis là où les modèles premium restent perfectibles. Premier irritant : les zones inaccessibles. Une partie de la poussière se loge sous les canapés, les lits et certains buffets, et quelques millimètres de trop suffisent à laisser des “angles morts”. Avec une hauteur annoncée à 7,95 cm, le X60 ne promet pas une révolution, mais un élargissement très concret de la couverture : beaucoup de robots haut de gamme avec tourelle culminent autour de 10 cm, et ce différentiel de 1,5 à 2,5 cm peut suffire à faire passer un robot sous des meubles bas modernes (meuble TV, lit plateforme, canapé à caisse basse).

Deuxième point : les seuils et tapis épais. Vu de l’extérieur, annoncer “jusqu’à 8,8 cm” peut sembler spectaculaire… mais l’intention est plus terre-à-terre : réduire le nombre de blocages qui cassent l’autonomie au quotidien. Dans la plupart des tests, encore beaucoup de robots “classiques” plafonnent autour de 2 cm de seuil franchissable ; c’est suffisant pour les transitions propres, mais ça coince dès qu’on cumule un rail + une barre, un seuil un peu haut, ou un bord de tapis épais. Dans cette logique, le X60 vise moins à “changer de catégorie” qu’à être moins exigeant sur l’environnement : tolérer davantage de situations réelles comme les passages irréguliers ou les doubles seuils et devenir la nouvelle norme premium, là où Roborock n’annonce « que » 4 cm sur ses Saros.

Enfin, avec une station qui promet le lavage des serpillières à 100°C, la marque s’attaque à l’odeur, au gras et à l’entretien, particulièrement sensibles dans les foyers avec animaux (ou des testeurs fous qui procèdent à des expériences façon Mimi Cracra…).

Un nouveau modèle qui peut faire doublon… mais qui gratte sérieusement les limites actuelles

Le Dreame X60 Max Ultra Complete arrive dans une zone un peu inconfortable : celle du “flagship de plus”, alors que le X50 Ultra Complete couvre déjà largement les besoins d’un robot premium. Sur le fond, la différence se joue sur des compromis grattés un par un : un robot annoncé plus bas pour réduire les angles morts sous les meubles, plus puissant sur le papier, une station orientée hygiène (lavage chaud) et une tolérance accrue face aux passages difficiles. On n’est donc pas (encore) une nouvelle catégorie : juste sur une manière de rendre le robot moins dépendant d’un intérieur optimisé pour lui.

Le risque, c’est évidemment la cannibalisation : à prix et positionnement proches, le X50 reste le choix premium déjà très complet, tandis que le X60 devient une sorte de vitrine technologique, surtout pertinente si l’on cumule des contraintes concrètes (meubles bas, seuils/tapis pénibles, forte exigence d’hygiène). Autrement dit : on ne s’y intéressera que pour réduire les situations où un très bon robot se heurte encore à une limite.

Et puis il y a le doublon externe : Roborock joue désormais le même match avec ses modèles ultra-plats. À ce niveau, la différence se fera moins sur la surenchère de chiffres que sur l’expérience : fiabilité de la navigation dans les zones sombres, constance sur tapis, qualité du lavage dans la durée, gestion des odeurs, fréquence d’entretien réellement nécessaire, stabilité de l’app et des automatisations. En 2026, la signification de « premium » sera un robot autonome, prévisible, et réclamant donc le moins d’attention possible…

Prix et disponibilité : ce qu’on sait, ce qui manque encore

Aux États-Unis, Dreame positionne le X60 Max Ultra Complete dans le très haut de gamme, avec un prix annoncé de 1 699,99 $ et une commercialisation annoncée à partir du 10 février 2026 (avec une phase de précommande/early offers en amont). En revanche, pour la France/Europe, il manque encore l’essentiel : date de sortie locale, tarif en euros, détails du bundle “Complete” selon les pays, ainsi que la politique SAV et le coût/disponibilité des consommables (sacs, patins, brosses, détergents). En attendant, l’alternative la plus évidente s’appelle Mova S70 Ultra Roller !

On espère vous en dire davantage le plus vite possible ! Et vous ? Pensez-vous que les améliorations du X60 Maw Ultra Complete pour concerner votre intérieur ou, rien qu’à voir le prix aux USA, vous savez que vous allez lâcher l’affaire ?

💾

Cyberinfo ZATAZ de la semaine du 16 janvier 2026 : hack, piratage et opérations internationales cyber....

Apparu en 2021, le Kia EV6 est le premier modèle 100 % électrique du constructeur coréen. Cinq ans après son lancement, celui-ci bénéficie aujourd’hui d’un restyling. Essai de la version Grande Autonomie.

Youssef Sammouda, un chercheur en sécurité connu sous le pseudo sam0, vient de publier un article détaillant pas moins de 4 vulnérabilités de type XS-Leaks qu'il a découvertes chez Meta. Pour vous la faire courte, ce genre de faille permet à un site malveillant de déduire des informations sur vous sans même avoir besoin de pirater quoi que ce soit. Heureusement, tout a été patché depuis !

La première faille concernait Workplace (la version entreprise de Facebook) et son intégration avec Zoom. En gros, un attaquant pouvait créer une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l'utilisateur était connecté ou non à Meta Work, la redirection se comportait différemment. Et là, pouf, l'attaquant savait si vous étiez un utilisateur Meta Work. Pas besoin d'accéder à vos données, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqué 2 400 dollars pour cette trouvaille.

La deuxième faille, c'était le bon vieux bouton Like de Facebook. Vous savez, ce petit widget qu'on trouve sur des millions de sites web ? Eh bien si vous étiez connecté à Facebook, le plugin pouvait révéler si vous aviez liké une page spécifique ou pas. Un attaquant n'avait qu'à mesurer le nombre de frames dans l'iframe pour le savoir. Encore 2 400 dollars dans la poche de notre chercheur.

La troisième était plus technique et bien trouvée. Le fichier signals/iwl.js de Facebook utilise Object.prototype pour ses opérations. En manipulant ce prototype depuis la page parente, un attaquant pouvait provoquer des erreurs différentes selon l'état de connexion de l'utilisateur, et même récupérer son ID Facebook. Ça, ça valait 3 600 dollars.

Et voilà, la quatrième concernait l'identification des employés Meta eux-mêmes via les domaines internes. Celle-là n'a pas rapporté de bounty (juste un "informative"), mais elle montre bien l'étendue du problème.

Au total, Youssef a empoché 8 400 dollars entre décembre 2024 et mai 2025, le temps que Meta corrige tout ça. Alors oui, c'est cool que ces failles soient maintenant corrigées mais ça fait quand même réfléchir sur la quantité de données qui peuvent fuiter sans même qu'on s'en rende compte.

Pour ceux qui veulent creuser le fonctionnement des programmes de bug bounty , c'est vraiment un système génial et hyper vertueux où tout le monde est gagnant. Les chercheurs sont payés pour trouver des failles, les entreprises patchent avant que les méchants n'exploitent. Y'a vraiment de quoi faire dans ce domaine.

Bref, bien joué Youssef Sammouda, grâce à lui quelques failles de moins chez Meta, et ça c'est cool !

Source

Nous vous proposons ce matin un rapide tour d'horizon du Edifier T5s qui n'est autre qu'un Subwoofer actif de 220 mm qui délivre 70 watts de puissance. C'est à découvrir tout simplemnt ici même : Test subwoofer Edifier T5s ou en cliquant sur la source. […]

Lire la suite

Aprés trois mois de silence, les pirates du groupe PayoutsKing revendiquent 39 victimes (dont deux françaises) et 48,3 To de données volées, illustrant une cyberextorsion structurée et orientée renseignement....

Il n’y a pas de petit objectif dans la vie – c’est en tout cas ce que je me dis quand j’essaie d’améliorer ma moyenne de mots tapés par minute sur 10FastFingers.com, même si je sais que ça n’impressionnera personne d’autre que ma mère (qui pense déjà que je suis capable de hacker le système informatique du Pentagone depuis que je lui ai exporté sa lettre de résiliation d’abonnement Internet en PDF). En tout cas, sachez qu'il existe aujourd'hui plein de manières plus intéressantes d’améliorer ses capacités dactylographiques.

Les amis, si vous administrez encore des serveurs Windows avec des configurations "d'époque" (qui sentent la naphtaline quoi...), il faut qu'on parle.

Google Cloud (via son équipe Mandiant) vient de sortir un papier assez creepy sur Net-NTLMv1, ce vieux protocole d'authentification qu'on croyait enterré mais qui survit encore dans pas mal d'infrastructures. Verdict implacable : c'est une véritable bombe à retardement !!

BOOM 💥 !

En gros, si vous avez encore du NTLMv1 activé quelque part sur votre réseau, un attaquant positionné sur votre réseau peut récupérer le matériel cryptographique nécessaire pour casser vos comptes. Le problème avec Net-NTLMv1, c'est qu'il s'agit d'un protocole d'authentification challenge-response qui date des années 90. C'était l'époque de Windows NT, de 2Pac et des modems 56k sauf que contrairement à la musique, la sécurité a un peu évolué depuis.

Le souci, c'est que ce protocole utilise l'algorithme DES (Data Encryption Standard) pour chiffrer ses challenges. Et le DES, aujourd'hui, c'est aussi solide qu'une porte en papier mâché.

Concrètement, un attaquant peut donc forcer un échange d'authentification (via des outils comme Responder) et, grâce à des Rainbow Tables (des tables arc-en-ciel), retrouver la clé de chiffrement. Une fois qu'il a cette clé, il peut reconstruire le hash NTLM et s'authentifier sur vos serveurs comme s'il était vous (attaque Pass-the-Hash).

Maintenant, la nouveauté qui va vous faire mal, c'est que Mandiant vient de publier un jeu complet de Rainbow Tables spécifiquement pour ça. Avant, il fallait les générer soi-même ou fouiller sur des sites communautaires comme FreeRainbowTables.com .

Le concept des RainbowTables c'est que plutôt que de recalculer les hashs à chaque fois, on pré-calcule des milliards de combinaisons possibles et on les stocke. Et Mandiant explique qu'avec ce dataset et du matériel grand public (moins de 600 $ de GPU), on peut désormais casser des clés NTLM en moins de 12 heures.

Soit une demi-journée pour transformer votre serveur "sécurisé" en moulin à vent... Alors comment savoir si vous êtes concerné ? Hé bien c'est là que ça devient sauvage car même si vous pensez être en NTLMv2 (la version plus sécurisée), il suffit qu'un seul équipement mal configuré, genre une vieille imprimante réseau ou un vieux logiciel force le "downgrade" vers NTLMv1 pour exposer des identifiants.

Heureusement, Windows permet d'auditer ça !

Vous pouvez aller fouiller dans les journaux d'événements (Event Viewer) et chercher l'ID 4624. Si vous voyez "Authentication Package: NTLM" et "Package Name (NTLM only): NTLM V1", c'est que vous avez un gros problème.

Pour le guide de survie, pas de panique, on peut désamorcer le truc mais il va falloir être méthodique pour ne pas casser la prod (ce qui vous ferait passer pour un admin en carton, et on veut éviter ça).

1. Auditez d'abord : Activez les logs d'audit pour le NTLM. Ça se passe dans les GPO (Group Policy Object). Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Audit NTLM authentication in this domain
2. Identifiez les coupables : Repérez les machines qui utilisent encore la v1. Souvent, ce sont de vieux serveurs 2003 qui traînent, des NAS non mis à jour ou des applis métier codées avec les pieds il y a 15 ans.
3. Forcez le NTLMv2 : Une fois que vous avez tout nettoyé, modifiez la GPO : Network security: LAN Manager authentication level. Passez-la à "Send NTLMv2 response only. Refuse LM & NTLM".

C'est radical, mais c'est une étape indispensable pour assainir votre réseau.

Voilà si je vous en parle c'est pas pour vous faire paniquer mais ne laissez pas traîner ça. Comme d'hab, la sécurité, c'est souvent de la maintenance de l'existant, et virer ces vieux protocoles tout nuls est probablement l'action la plus rentable que vous puissiez faire cette semaine pour la sécurité de votre boite.

Et si vous cherchez d'autres moyens de sécuriser vos accès, jetez un œil à ce que j'écrivais sur les failles critiques NTLM y'a un peu plus d'un an, ça reste d'actualité.

Source

Si vous faites partie des curieux qui testent WinBoat (le projet open source de TibixDev pour lancer des applis Windows sous Linux via Docker), sachez qu'une vulnérabilité critique a été identifiée dans l'outil, et le scénario d'attaque est plutôt créatif.

Pour ceux qui ne connaissent pas, WinBoat est une appli Electron qui orchestre tout un petit monde (Docker / Podman, FreeRDP) pour rendre l'expérience Windows "seamless" sur votre bureau Linux. C'est ambitieux, c'est en beta, et forcément, il y a parfois des trous dans la raquette.

D'après le write-up technique publié sur hack.do , le problème venait de l'API locale exposée par WinBoat sur le port 7148. Cette API HTTP n'était pas authentifiée, ce qui est souvent le début des ennuis.