Sous les canapés, sur les seuils, contre les poils d’animaux et les odeurs : c’est là que se gagne désormais la guerre des robots premium. Avec le X60 Max Ultra Complete, Dreame promet le “package ultime” et relance la course aux flagships.

Sur le très haut de gamme, le robot-aspirateur est entré dans une vraie course à l’armement. Chaque marque promet “le plus” : une station plus autonome, une IA plus futée, une aspiration plus démonstrative… et surtout un format capable d’aller là où les anciens modèles échouent, sous les meubles bas. Dans ce contexte, Dreame dégaine le X60 Max Ultra Complete et clame haut et fort : « les frérots, nous, on coche toutes les cases à la fois ! », brandissant d’un geste triomphal un robot ultra-fin, annoncé très puissant, et épaulé par une station qui met l’accent sur l’hygiène.

Bon, mais alors… ce modèle est-il seulement impressionnant… ou différent ? Car sur un marché saturé de “flagships”, le X60 doit éviter le piège du doublon interne face au Dreame X50 Ultra Complete, et du doublon externe face aux nouveaux Roborock Saros. Examinons cela d’un peu plus près…

Roborock ose le robot aspirateur qui grimpe les escaliers : révolution… ou casse-tête ?

Quelques spécifications communiquées par Dreame

Caractéristique Techniques	Dreame X60 Max Ultra Complete
Dimensions	robot : 350 × 350 × 79,5 mm/102,8 mm station : 390 × 423 × 499 mm
Poids	robot : 4,7 kg station : 10,6 kg
Capacité de franchissement d’obstacles	8,8 cm (double marche) /4,5 cm (marche simple)
Lavage de la serpillière	100°C
Puissance d’aspiration	35 000 Pa
Pression vers le sol	15 N
Batterie	6 400 mAh
Autonomie	NC
Temps de charge complète	NC
Bac robot	235 ml
Volume du sac à poussière	3,2 L
Capacité du réservoir d’eau propre / usée	4,2 L / 3,0 L
Vitesse de rotation annoncée	230 tr/min
Assistance vocale	Built-in & third-party
Ajout automatique de détergent	Dual-Solution Compartment
Navigation	VersaLift DToF + 2 caméras IA + lumière latérale 3D structurée + LED + jusqu’à 280+ types d’objets
Brosse principale	HyperStream™ Detangling DuoBrush 2.0

Sur le papier, le X60 Max Ultra Complete frappe fort sur trois points : un gabarit ultra-fin (7,95 cm) rare sur un flagship, une puissance annoncée très élevée (35 000 Pa), et surtout un combo “tout-terrain” avec franchissement jusqu’à 8,8 cm et station 100°C orientée hygiène/odeurs (pratique avec des animaux). Le bémol, c’est que l’autonomie, le bruit et la performance réelle restent à vérifier pour avoir un portrait vraiment fiable de ce nouveau candidat !

Pourquoi Dreame mise tout sur le profil bas… et sur la station

À ce niveau de gamme, Dreame ne cherche plus à “réinventer” le robot-aspirateur : l’enjeu, c’est plutôt de réduire les compromis là où les modèles premium restent perfectibles. Premier irritant : les zones inaccessibles. Une partie de la poussière se loge sous les canapés, les lits et certains buffets, et quelques millimètres de trop suffisent à laisser des “angles morts”. Avec une hauteur annoncée à 7,95 cm, le X60 ne promet pas une révolution, mais un élargissement très concret de la couverture : beaucoup de robots haut de gamme avec tourelle culminent autour de 10 cm, et ce différentiel de 1,5 à 2,5 cm peut suffire à faire passer un robot sous des meubles bas modernes (meuble TV, lit plateforme, canapé à caisse basse).

Deuxième point : les seuils et tapis épais. Vu de l’extérieur, annoncer “jusqu’à 8,8 cm” peut sembler spectaculaire… mais l’intention est plus terre-à-terre : réduire le nombre de blocages qui cassent l’autonomie au quotidien. Dans la plupart des tests, encore beaucoup de robots “classiques” plafonnent autour de 2 cm de seuil franchissable ; c’est suffisant pour les transitions propres, mais ça coince dès qu’on cumule un rail + une barre, un seuil un peu haut, ou un bord de tapis épais. Dans cette logique, le X60 vise moins à “changer de catégorie” qu’à être moins exigeant sur l’environnement : tolérer davantage de situations réelles comme les passages irréguliers ou les doubles seuils et devenir la nouvelle norme premium, là où Roborock n’annonce « que » 4 cm sur ses Saros.

Enfin, avec une station qui promet le lavage des serpillières à 100°C, la marque s’attaque à l’odeur, au gras et à l’entretien, particulièrement sensibles dans les foyers avec animaux (ou des testeurs fous qui procèdent à des expériences façon Mimi Cracra…).

Un nouveau modèle qui peut faire doublon… mais qui gratte sérieusement les limites actuelles

Le Dreame X60 Max Ultra Complete arrive dans une zone un peu inconfortable : celle du “flagship de plus”, alors que le X50 Ultra Complete couvre déjà largement les besoins d’un robot premium. Sur le fond, la différence se joue sur des compromis grattés un par un : un robot annoncé plus bas pour réduire les angles morts sous les meubles, plus puissant sur le papier, une station orientée hygiène (lavage chaud) et une tolérance accrue face aux passages difficiles. On n’est donc pas (encore) une nouvelle catégorie : juste sur une manière de rendre le robot moins dépendant d’un intérieur optimisé pour lui.

Le risque, c’est évidemment la cannibalisation : à prix et positionnement proches, le X50 reste le choix premium déjà très complet, tandis que le X60 devient une sorte de vitrine technologique, surtout pertinente si l’on cumule des contraintes concrètes (meubles bas, seuils/tapis pénibles, forte exigence d’hygiène). Autrement dit : on ne s’y intéressera que pour réduire les situations où un très bon robot se heurte encore à une limite.

Et puis il y a le doublon externe : Roborock joue désormais le même match avec ses modèles ultra-plats. À ce niveau, la différence se fera moins sur la surenchère de chiffres que sur l’expérience : fiabilité de la navigation dans les zones sombres, constance sur tapis, qualité du lavage dans la durée, gestion des odeurs, fréquence d’entretien réellement nécessaire, stabilité de l’app et des automatisations. En 2026, la signification de « premium » sera un robot autonome, prévisible, et réclamant donc le moins d’attention possible…

Prix et disponibilité : ce qu’on sait, ce qui manque encore

Aux États-Unis, Dreame positionne le X60 Max Ultra Complete dans le très haut de gamme, avec un prix annoncé de 1 699,99 $ et une commercialisation annoncée à partir du 10 février 2026 (avec une phase de précommande/early offers en amont). En revanche, pour la France/Europe, il manque encore l’essentiel : date de sortie locale, tarif en euros, détails du bundle “Complete” selon les pays, ainsi que la politique SAV et le coût/disponibilité des consommables (sacs, patins, brosses, détergents). En attendant, l’alternative la plus évidente s’appelle Mova S70 Ultra Roller !

On espère vous en dire davantage le plus vite possible ! Et vous ? Pensez-vous que les améliorations du X60 Maw Ultra Complete pour concerner votre intérieur ou, rien qu’à voir le prix aux USA, vous savez que vous allez lâcher l’affaire ?

💾

Cyberinfo ZATAZ de la semaine du 16 janvier 2026 : hack, piratage et opérations internationales cyber....

Apparu en 2021, le Kia EV6 est le premier modèle 100 % électrique du constructeur coréen. Cinq ans après son lancement, celui-ci bénéficie aujourd’hui d’un restyling. Essai de la version Grande Autonomie.

Youssef Sammouda, un chercheur en sécurité connu sous le pseudo sam0, vient de publier un article détaillant pas moins de 4 vulnérabilités de type XS-Leaks qu'il a découvertes chez Meta. Pour vous la faire courte, ce genre de faille permet à un site malveillant de déduire des informations sur vous sans même avoir besoin de pirater quoi que ce soit. Heureusement, tout a été patché depuis !

La première faille concernait Workplace (la version entreprise de Facebook) et son intégration avec Zoom. En gros, un attaquant pouvait créer une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l'utilisateur était connecté ou non à Meta Work, la redirection se comportait différemment. Et là, pouf, l'attaquant savait si vous étiez un utilisateur Meta Work. Pas besoin d'accéder à vos données, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqué 2 400 dollars pour cette trouvaille.

La deuxième faille, c'était le bon vieux bouton Like de Facebook. Vous savez, ce petit widget qu'on trouve sur des millions de sites web ? Eh bien si vous étiez connecté à Facebook, le plugin pouvait révéler si vous aviez liké une page spécifique ou pas. Un attaquant n'avait qu'à mesurer le nombre de frames dans l'iframe pour le savoir. Encore 2 400 dollars dans la poche de notre chercheur.

La troisième était plus technique et bien trouvée. Le fichier signals/iwl.js de Facebook utilise Object.prototype pour ses opérations. En manipulant ce prototype depuis la page parente, un attaquant pouvait provoquer des erreurs différentes selon l'état de connexion de l'utilisateur, et même récupérer son ID Facebook. Ça, ça valait 3 600 dollars.

Et voilà, la quatrième concernait l'identification des employés Meta eux-mêmes via les domaines internes. Celle-là n'a pas rapporté de bounty (juste un "informative"), mais elle montre bien l'étendue du problème.

Au total, Youssef a empoché 8 400 dollars entre décembre 2024 et mai 2025, le temps que Meta corrige tout ça. Alors oui, c'est cool que ces failles soient maintenant corrigées mais ça fait quand même réfléchir sur la quantité de données qui peuvent fuiter sans même qu'on s'en rende compte.

Pour ceux qui veulent creuser le fonctionnement des programmes de bug bounty , c'est vraiment un système génial et hyper vertueux où tout le monde est gagnant. Les chercheurs sont payés pour trouver des failles, les entreprises patchent avant que les méchants n'exploitent. Y'a vraiment de quoi faire dans ce domaine.

Bref, bien joué Youssef Sammouda, grâce à lui quelques failles de moins chez Meta, et ça c'est cool !

Source

Nous vous proposons ce matin un rapide tour d'horizon du Edifier T5s qui n'est autre qu'un Subwoofer actif de 220 mm qui délivre 70 watts de puissance. C'est à découvrir tout simplemnt ici même : Test subwoofer Edifier T5s ou en cliquant sur la source. […]

Lire la suite

Aprés trois mois de silence, les pirates du groupe PayoutsKing revendiquent 39 victimes (dont deux françaises) et 48,3 To de données volées, illustrant une cyberextorsion structurée et orientée renseignement....

Il n’y a pas de petit objectif dans la vie – c’est en tout cas ce que je me dis quand j’essaie d’améliorer ma moyenne de mots tapés par minute sur 10FastFingers.com, même si je sais que ça n’impressionnera personne d’autre que ma mère (qui pense déjà que je suis capable de hacker le système informatique du Pentagone depuis que je lui ai exporté sa lettre de résiliation d’abonnement Internet en PDF). En tout cas, sachez qu'il existe aujourd'hui plein de manières plus intéressantes d’améliorer ses capacités dactylographiques.

Les amis, si vous administrez encore des serveurs Windows avec des configurations "d'époque" (qui sentent la naphtaline quoi...), il faut qu'on parle.

Google Cloud (via son équipe Mandiant) vient de sortir un papier assez creepy sur Net-NTLMv1, ce vieux protocole d'authentification qu'on croyait enterré mais qui survit encore dans pas mal d'infrastructures. Verdict implacable : c'est une véritable bombe à retardement !!

BOOM 💥 !

En gros, si vous avez encore du NTLMv1 activé quelque part sur votre réseau, un attaquant positionné sur votre réseau peut récupérer le matériel cryptographique nécessaire pour casser vos comptes. Le problème avec Net-NTLMv1, c'est qu'il s'agit d'un protocole d'authentification challenge-response qui date des années 90. C'était l'époque de Windows NT, de 2Pac et des modems 56k sauf que contrairement à la musique, la sécurité a un peu évolué depuis.

Le souci, c'est que ce protocole utilise l'algorithme DES (Data Encryption Standard) pour chiffrer ses challenges. Et le DES, aujourd'hui, c'est aussi solide qu'une porte en papier mâché.

Concrètement, un attaquant peut donc forcer un échange d'authentification (via des outils comme Responder) et, grâce à des Rainbow Tables (des tables arc-en-ciel), retrouver la clé de chiffrement. Une fois qu'il a cette clé, il peut reconstruire le hash NTLM et s'authentifier sur vos serveurs comme s'il était vous (attaque Pass-the-Hash).

Maintenant, la nouveauté qui va vous faire mal, c'est que Mandiant vient de publier un jeu complet de Rainbow Tables spécifiquement pour ça. Avant, il fallait les générer soi-même ou fouiller sur des sites communautaires comme FreeRainbowTables.com .

Le concept des RainbowTables c'est que plutôt que de recalculer les hashs à chaque fois, on pré-calcule des milliards de combinaisons possibles et on les stocke. Et Mandiant explique qu'avec ce dataset et du matériel grand public (moins de 600 $ de GPU), on peut désormais casser des clés NTLM en moins de 12 heures.

Soit une demi-journée pour transformer votre serveur "sécurisé" en moulin à vent... Alors comment savoir si vous êtes concerné ? Hé bien c'est là que ça devient sauvage car même si vous pensez être en NTLMv2 (la version plus sécurisée), il suffit qu'un seul équipement mal configuré, genre une vieille imprimante réseau ou un vieux logiciel force le "downgrade" vers NTLMv1 pour exposer des identifiants.

Heureusement, Windows permet d'auditer ça !

Vous pouvez aller fouiller dans les journaux d'événements (Event Viewer) et chercher l'ID 4624. Si vous voyez "Authentication Package: NTLM" et "Package Name (NTLM only): NTLM V1", c'est que vous avez un gros problème.

Pour le guide de survie, pas de panique, on peut désamorcer le truc mais il va falloir être méthodique pour ne pas casser la prod (ce qui vous ferait passer pour un admin en carton, et on veut éviter ça).

1. Auditez d'abord : Activez les logs d'audit pour le NTLM. Ça se passe dans les GPO (Group Policy Object). Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Audit NTLM authentication in this domain
2. Identifiez les coupables : Repérez les machines qui utilisent encore la v1. Souvent, ce sont de vieux serveurs 2003 qui traînent, des NAS non mis à jour ou des applis métier codées avec les pieds il y a 15 ans.
3. Forcez le NTLMv2 : Une fois que vous avez tout nettoyé, modifiez la GPO : Network security: LAN Manager authentication level. Passez-la à "Send NTLMv2 response only. Refuse LM & NTLM".

C'est radical, mais c'est une étape indispensable pour assainir votre réseau.

Voilà si je vous en parle c'est pas pour vous faire paniquer mais ne laissez pas traîner ça. Comme d'hab, la sécurité, c'est souvent de la maintenance de l'existant, et virer ces vieux protocoles tout nuls est probablement l'action la plus rentable que vous puissiez faire cette semaine pour la sécurité de votre boite.

Et si vous cherchez d'autres moyens de sécuriser vos accès, jetez un œil à ce que j'écrivais sur les failles critiques NTLM y'a un peu plus d'un an, ça reste d'actualité.

Source

Si vous faites partie des curieux qui testent WinBoat (le projet open source de TibixDev pour lancer des applis Windows sous Linux via Docker), sachez qu'une vulnérabilité critique a été identifiée dans l'outil, et le scénario d'attaque est plutôt créatif.

Pour ceux qui ne connaissent pas, WinBoat est une appli Electron qui orchestre tout un petit monde (Docker / Podman, FreeRDP) pour rendre l'expérience Windows "seamless" sur votre bureau Linux. C'est ambitieux, c'est en beta, et forcément, il y a parfois des trous dans la raquette.

D'après le write-up technique publié sur hack.do , le problème venait de l'API locale exposée par WinBoat sur le port 7148. Cette API HTTP n'était pas authentifiée, ce qui est souvent le début des ennuis.

Roborock vient de lâcher une petite bombe au CES 2026 : le Saros Rover, un robot aspirateur qui ne se contente plus d’éviter l’escalier… il le grimpe. Et pas juste pour “passer à l’étage” : l’idée, c’est qu’il nettoie chaque marche au passage, comme si l’escalier devenait enfin une surface comme une autre. Really ?

Roborock mise sur ce qu’elle présente comme la première architecture “wheel-leg” (des “jambes-roues” articulées) : chaque module peut monter et descendre indépendamment, afin de garder le robot stable tout en franchissant marches, pentes et reliefs. Côté cerveau, la marque évoque un pilotage via algorithmes d’IA, capteurs de mouvement et information spatiale 3D.

Évidemment, une promesse aussi “révolutionnaire” ouvre autant de portes qu’elle soulève de questions : cartographie multi-étages, gestion des risques de chute ou de blocage, sécurité pour les habitants (enfants, animaux, objets sur les marches), et surtout réparabilité si un incident survient sur l’élément le plus brutal de la maison. D’autant que Roborock reste prudente : pas de spécifications détaillées, pas de prix, pas de date de sortie, et le Rover est présenté comme un produit réel en développement. Nous allons examiner en l’état la promesse d’un des leaders du marché, et essayer de deviner si son ambition ne risque pas de lui faire louper une marche !

Ecovacs Deebot X12 OmniCyclone : un “X11.1” ou un vrai remplaçant ?

Comment le Saros Rover procède-t-il pour gérer les escaliers ?

Sur le stand, le Saros Rover ne “saute” pas les escaliers comme un gadget de foire : il les négocie marche par marche, avec une chorégraphie mécanique assez parlante. Le robot soulève son châssis, se pose sur la marche, puis pivote sur une de ses jambes-roues pour aspirer le long de la marche, avant de recommencer sur la suivante. L’effet est spectaculaire… mais surtout très différent d’un simple franchissement de seuil : ici, l’escalier devient une surface de nettoyage à part entière.

Le point qui calme immédiatement l’enthousiasme, c’est le rythme ; il lui faut un peu moins de trois minutes pour monter cinq marches. À l’échelle d’une maison, c’est loin d’être anecdotique : si le Rover doit “travailler” l’escalier en plus de l’étage, la durée totale des cycles peut exploser. D’autre part, il n’est pas rare que le robot tangue légèrement au bord d’une marche, au point de donner l’impression qu’il est sur le point de basculer, avant de se rattraper. En somme la moindre perte d’adhérence, le moindre objet oublié sur une marche, le moindre frôlement avec le chat peut tourner en accident domestique !

Plus rassurant sur les autres types de relief…

Roborock ne mise pas uniquement sur l’escalier : la démo inclut aussi la gestion des pentes et des différences de niveaux. The Verge explique que le Rover descend une pente “avec contrôle”, et que Roborock revendique la capacité à freiner, s’arrêter, faire demi-tour et remonter en marche arrière. Mieux : le robot a réalisé un petit “hop” destiné à franchir des seuils multi-niveaux.

Et c’est là que la promesse devient intéressante : si ce Rover sait enchaîner montée, descente, arrêt, pivot, micro-saut, alors on n’est plus seulement face à un robot “plus fort”, mais face à un robot qui doit gérer une dynamique proche de la robotique mobile. Techniquement, ça ouvre la voie à un vrai nettoyage multi-étages.

Cartographie et navigation : le vrai mur technique

Sur un robot “classique”, la navigation consiste surtout à se repérer, éviter les obstacles et optimiser les trajets sur un plan 2D. Avec le Saros Rover, Roborock change d’échelle : dès qu’on ajoute des marches, on ne parle plus seulement d’itinéraires, mais de posture, de stabilité, d’adhérence, et de décisions en temps réel. La marque résume son approche avec une formule assez claire : une lecture spatiale 3D, combinée à des capteurs de mouvement et à des algorithmes d’IA, pour ajuster la cinématique des jambes-roues au fil des appuis.

Le problème, c’est que cette promesse est aussi celle qui laisse le plus de zones d’ombre. Roborock parle de “3D” et d’IA, mais sans détailler la nature des capteurs, ni la manière dont la cartographie s’organise quand le sol devient vertical par séquences. Or, c’est précisément là que tout se joue : si le Rover veut être autre chose qu’une démonstration spectaculaire, il doit maîtriser la réalité domestique avec un niveau de fiabilité supérieur à celui d’un robot qui se contente d’éviter le vide. Ce qui nous laisse avec pléthore de questionnements :

En somme, pour transformer l’essai, il faudra prouver que le Saros Rover sait cartographier et naviguer “en 3D” avec la même fiabilité qu’un bon robot en 2D.

Sécurité, fiabilité et réparabilité : le vrai prix du risque

Quand un robot reste au sol, la pire frayeur, c’est souvent un blocage sous un meuble ou une belle trace de boue sur un tapis. Quand il monte un escalier, la sécurité devient un sujet central, et pas seulement pour le robot. Or, la sécurité, c’est la capacité à gérer les imprévus de manière répétable, pendant des centaines d’heures, avec des comportements prévisibles pour les habitants. Vu les premières démos, il semble que la marge d’erreur soit relativement fine, d’autant plus que l’expérience domestique sera forcément plus chaotique qu’une présentation publique dans des conditions optimales.

L’autre inquiétude la plus évidente concerne l’architecture à jambes-roues, laquelle implique mécaniquement plus de pièces mobiles, donc plus d’usure potentielle, plus de tolérances à tenir, et probablement un SAV plus coûteux qu’un robot à châssis classique. Dans le meilleur des cas, ce surcroît de complexité se traduit par un entretien et des consommables spécifiques ; dans le pire, par des réparations lourdes.

En somme, les garde-fous manquent de netteté pour protéger l’appareil des chutes, gérer un éventuel obstacle au moment critique, solutionner une casse survenue après la rencontre du cocker surexcité avant sa promenade… Bref, tant que Roborock n’a pas verrouillé ces deux volets, on est face à une techno prometteuse… mais pas encore “domestiquée”. Mais si la marque arrive à verrouiller la sécurité en conditions réelles et une réparabilité intelligente, elle ouvre un nouveau chapitre du robot domestique.

En attendant d’en savoir plus : les autres annonces Roborock au CES 2026

Reste que, pour l’instant, Roborock entretient volontairement le suspense sur son “produit phare” : aucun prix ni date de sortie n’ont été annoncés pour le Saros Rover, toujours présenté comme un projet en développement.

Pour patienter, la marque pousse des nouveautés plus immédiatement “commerciales”, à commencer par le Qrevo Curv 2 Flow, qui succède au Qrevo Curv 2 Pro. C’est un modèle important dans la gamme, puisqu’il introduit chez Roborock un rouleau serpillière motorisé (avec promesse d’auto-nettoyage), une aspiration annoncée à 20 000 Pa, la compatibilité Matter et une station/dock dédiée. Aux États-Unis, Roborock annonce un lancement le 19 janvier à 849 $ en prix promo (pour un prix public indiqué à 999 $).

Nota Bene : pour les fans de foot, Roborock n’a pas manqué de rappeler son partenariat avec le Real Madrid dans ses communications autour du CES 2026 !

Dans un registre plus “haut de gamme technique”, les Saros 20 et Saros 20 Sonic mettent l’accent sur le franchissement… mais des seuils, pas des escaliers. La marque évoque AdaptiLift Chassis 3.0 pour mieux passer les obstacles, StarSight 2.0 pour la reconnaissance d’objets, et, sur le Sonic, une serpillière vibrante VibraRise 5.0, avec une puissance annoncée à 35 000 Pa et une station qui parle notamment de lavage à l’eau chaude.

En revanche, pas de prix, et une sortie annoncée encore un peu plus tard dans l’année.

Et vous, vous y croyez à ce Saros Rover de Roborock ? Pourriez-vous faire partie des premiers acheteurs pour assister à un tournant dans l’électro-ménager robotique, ou jouerez-vous la carte de la prudence en attendant que le produit soit testé par nos soins ?

💾

Si vous pensiez que vos écouteurs sans fil étaient capables de garder vos secrets, j'ai une mauvaise nouvelle pour vous !

Des chercheurs du groupe COSIC de la KU Leuven (les mêmes génies qui avaient déjà hacké des Tesla il y a quelques années) viennent de dévoiler WhisperPair. C'est le petit nom d'une série de vulnérabilités qui touchent le protocole Google Fast Pair, et vous allez voir, ça craint.

Le protocole Fast Pair, censé nous faciliter la vie en appairant nos gadgets en un clic, oublie en fait de vérifier si l'appareil est réellement en mode appairage. Du coup, n'importe quel petit malin situé à portée de Bluetooth (environ 15 mètres dans les tests) peut se connecter silencieusement à votre casque ou vos enceintes, même si vous êtes déjà en train d'écouter votre podcast préféré. Pas besoin de bouton, pas besoin de confirmation, rien. C'est un peu le retour de la faille BlueSpy dont je vous parlais l'année dernière , mais en mode industriel.

Et quand je dis industriel, je n'exagère pas car les chercheurs ont testé 25 modèles différents et 17 d'entre eux sont tombés comme des mouches. Des marques comme Sony, Jabra, JBL, Marshall, Xiaomi, OnePlus, Logitech et même les Pixel Buds de Google sont touchées. Et une fois connecté, le pirate peut faire pas mal de trucs sympas (ou pas) comme injecter son propre audio à fond dans vos oreilles, perturber vos appels, ou pire, activer le micro pour écouter ce qui se passe autour de vous.

Mais attendez ça va encore plus loin car pour certains modèles Sony et Google, un attaquant peut carrément enregistrer votre casque sur son propre compte Google. Et là, c'est le combo gagnant pour le stalker puisqu'il peut vous suivre à la trace via le réseau Find Hub (le "Localiser" de Google). Le plus dingue, c'est que ça fonctionne même si vous utilisez un iPhone et que vous n'avez jamais touché à un produit Android de votre vie.

Si vous recevez une alerte de tracking sur votre smartphone, vous penserez probablement à un bug de votre propre appareil alors que c'est un espion qui regarde vos déplacements en temps réel... C'est moche.

Bref, Google a bien essayé de patcher le truc, notamment pour Find Hub, mais les chercheurs ont déjà trouvé un moyen de contourner le correctif en quelques heures. C'est la course à l'échalote habituelle et le vrai souci, c'est que pour corriger ça proprement, il faut une mise à jour du firmware de chaque accessoire par son constructeur. Et on sait tous comment ça se passe... à moins d'avoir l'application dédiée de la marque (que personne n'installe jamais) et de penser à vérifier les updates, vos écouteurs resteront vulnérables pendant des années.

Du coup, que faire ?

Hé bien déjà, si vous bossez sur des trucs ultra-sensibles, méfiez-vous du Bluetooth dans les lieux publics. C'est moche à dire en 2026, mais la sécurité des objets connectés reste encore trop souvent le parent pauvre de l'ergonomie.

Et si vous voulez creuser les détails techniques, les chercheurs ont tout mis sur leur site dédié .

Source

Dans le petit théâtre des certifications, il y a un moment qui compte plus que les autres : celui où les numéros de modèle cessent d’être des énigmes pour devenir des produits « nommés ». Cette semaine, la TDRA (Émirats arabes unis) a validé deux tablettes Xiaomi — et, surtout, a confirmé leurs appellations finales : Xiaomi Pad 8 et […]

L’article Xiaomi Pad 8 et 8 Pro : Le lancement mondial confirmé par une nouvelle certification est apparu en premier sur BlogNT : le Blog des Nouvelles Technologies.

Vous vous souvenez d' EchoLeak, cette faille zero-click dans Microsoft Copilot dont je vous parlais l'année dernière ? Eh bien accrochez-vous, parce que les chercheurs de Varonis viennent de remettre le couvert avec une nouvelle technique baptisée "Reprompt". Et cette fois, un simple clic suffit pour que l'assistant IA de Microsoft balance toutes vos données sensibles à un attaquant.

Je vous explique le principe... Dolev Taler, chercheur chez Varonis Threat Labs, a découvert que l'URL de l'assistant Microsoft intègre un paramètre "q" qui permet d'injecter directement des instructions dans le prompt.

Du coup, n'importe qui peut vous envoyer un lien piégé du style copilot.microsoft.com/?q=INSTRUCTION_MALVEILLANTE et hop, votre assistant exécute ce qu'on lui demande dès que vous cliquez.

Et là où c'est vraiment pas drôle, c'est que Varonis a identifié trois techniques d'exploitation. La première, "Double-Request", contourne les garde-fous en demandant à l'IA de répéter deux fois la même action. La deuxième, "Chain-Request", enchaîne les instructions côté serveur pour exfiltrer vos données sans que vous ne voyiez rien. Et la troisième combine les deux pour un effet maximal.

Les trois techniques d'attaque Reprompt : P2P Injection, Double-Request et Chain-Request ( Source )

Via cette faille, un attaquant peut récupérer vos emails récents, vos fichiers OneDrive, votre historique de recherche, et tout ça en arrière-plan pendant que vous pensez juste avoir cliqué sur un lien anodin. Ça craint hein !

Petite précision importante quand même, cette faille ne touche que la version Personal de l'assistant Microsoft, et pas la version Enterprise qui bénéficie de protections supplémentaires. Si vous utilisez la version pro au boulot, vous pouvez respirer. Par contre, si vous utilisez la version grand public pour vos trucs perso, c'était open bar jusqu'au patch du 13 janvier dernier.

Parce que oui, bonne nouvelle quand même, Microsoft a confirmé avoir corrigé le problème. Mais ça pose une vraie question sur la sécurité des assistants IA qui ont accès à nos données car entre EchoLeak et Reprompt, ça commence à faire beaucoup pour un seul produit.

Et surtout au niveau de la sécurité, moi ce que je comprends pas, c'est pourquoi le niveau de sécurité est un argument marketing ? Au nom de quoi la version personnelle devrait être moins sûre que la version personnelle ? Je pense que les données personnelles des gens n'ont pas moins de valeur...

Pour moi le niveau de sécurité devrait être exactement le même sur les deux versions du service.

Bref, l'IA c'est pratique, mais c'est aussi un nouveau terrain de jeu pour les attaquants alors méfiez-vous des liens bizarres, même s'ils pointent vers des services Microsoft légitimes !

Source

Ah, encore une merveilleuse petite faille de sécurité qui va ravir tous les paranos de la vie privée et les anti-IA ^^ ! Johann Rehberger et l'équipe de PromptArmor viennent de démontrer comment Claude Cowork , l'agent IA d'Anthropic censé vous simplifier la vie au bureau, peut se transformer en aspirateur à fichiers personnels.

J'imagine que si vous l'avez testé, vous avez un dossier connecté à Claude Cowork pour qu'il vous aide à analyser vos documents ? Parfait. Il suffit maintenant qu'un petit malin glisse un fichier Word contenant des instructions cachées, et hop hop hop, vos précieux fichiers partent se balader sur un serveur distant sans que vous n'ayez rien vu venir.

En fait, le fichier piégé contient du texte invisible pour l'œil humain, mais parfaitement lisible par l'IA. Genre une police en taille 1px, de couleur blanche sur fond blanc, avec un interligne de 0,1 histoire d'être vraiment sûr que personne ne le remarque. C'est beau la créativité des hackers, quand même.

Et l'IA, elle, lit tout ça comme si c'était normal et exécute gentiment les instructions malveillantes.

La chaîne d'attaque se déroule en cinq étapes bien huilées. D'abord, l'attaquant dépose son fichier vérolé dans un dossier partagé auquel Claude a accès. Ensuite, il attend qu'un utilisateur demande à l'IA d'analyser le contenu de ce dossier. Claude traite alors le fichier piégé et découvre les instructions cachées. L'IA effectue une requête qui envoie vos fichiers vers l'API Anthropic... sauf que les identifiants utilisés appartiennent à l'attaquant. Vos données atterrissent donc tranquillement dans son compte, sans que vous n'ayez la moindre notification.

Ce qui rend cette attaque particulièrement sournoise, c'est que la sandbox de Claude autorise les requêtes sortantes vers l'API d'Anthropic. Normal, me direz-vous, c'est son propre écosystème. Sauf que du coup, un attaquant bien motivé peut exploiter cette confiance aveugle pour faire transiter des données volées par un canal parfaitement légitime en apparence. Si vous suivez les vulnérabilités des systèmes RAG comme ConfusedPilot , vous reconnaîtrez le même genre de manipulation par injection de contenu.

Et ce n'est pas tout ! Les chercheurs ont également identifié un vecteur potentiel de déni de service. En créant un fichier avec une extension qui ne correspond pas à son contenu réel, genre un fichier texte déguisé en PDF, on peut provoquer des erreurs en cascade qui paralysent l'API de manière persistante.

Sympa pour bloquer un concurrent ou saboter un projet.

Côté modèles affectés, les chercheurs ont démontré la vulnérabilité sur plusieurs versions de Claude, dont Haiku. Bref, c'est du sérieux. Pour ceux qui s'intéressent aux failles de sécurité des assistants IA ou aux techniques de red teaming sur les LLM , cette recherche vaut vraiment le détour.

Anthropic a été notifié et travaille sur des correctifs. En attendant, si vous utilisez Claude Cowork avec des dossiers partagés, méfiez-vous de tout fichier qui pourrait traîner là sans raison apparente. Et la prochaine fois que quelqu'un vous envoie un document "urgent à analyser", prenez peut-être cinq secondes pour vous demander s'il ne cache pas une petite surprise.

Pour en savoir plus c'est par ici !

Le nouveau petit crossover électrique de Suzuki a enfin un prix en France et compte tenu de la concurrence notamment des modèles chinois, il devra compter sur les remises pour séduire la clientèle.

Bon, accrochez-vous à vos manettes parce qu'on vient de franchir un nouveau palier dans le grand n'importe quoi de l'optimisation PC.

Vous le savez, le jeu Monster Hunter Wilds sur PC, c'est un peu la roulette russe... un coup ça passe, un coup ça rame sa mère comme un vieux disque rayé. Les joueurs ont tous accusé les shaders, le CPU ou encore le Denuvo de service, mais la vérité est bien plus... bizarroïde, vous allez voir.

En effet, un utilisateur de Reddit nommé de_Tylmarande a mis le doigt sur un bug de logique métier qui me laisse un peu sur le cul. En gros, plus vous possédez de DLC, mieux le jeu se porte. Hé non, ce n'est pas un nouveau modèle économique "Pay-to-FPS", mais un pur problème de code mal torché.

En fait, tout commence quand ce brave de_Tylmarande décide de tester le jeu sur deux comptes Steam différents, mais sur la même bécane. Sur son premier compte, il installe le jeu de base sans rien d'autre... Résultat, il se retrouve à 25 FPS bien pénibles dans les hubs. Et sur un deuxième compte, blindé avec tous les DLC cosmétiques de la mort, il se retrouve à plus de 80 FPS au même endroit.

DOSSIER – Les grandes berlines tiennent le coup face aux SUV familiaux, la preuve avec tous ces nouveaux modèles : BMW i3, Genesis G80, Lancia Gamma, Lexus ES, Polestar 5, Volvo ES90, Xpeng P7 +. On note l’arrivée de la Ferrari Elettrica, mais aussi le retour d’une Jaguar au design original et d’un véhicule moins familial, la nouvelle Mercedes-AMG GT Coupé 4 portes.

Caméra connectée et vie privée peuvent faire bon ménage. Stockage local chiffré, cloud maîtrisé, IA embarquée, mode “privacy”… découvrez comment choisir une caméra domotique qui protège réellement vos données, avec l’exemple concret des caméras Netatmo.

L’année 2026 marque un tournant brutal pour l’industrie des smartphones : les consommateurs doivent se préparer à payer plus cher pour leurs prochains appareils. Carl Pei, cofondateur de Nothing, a publié une mise en garde explicite intitulée « Pourquoi votre prochain smartphone coûtera plus cher », rejoignant ainsi …

Lire la suite

Aimez KultureGeek sur Facebook, et suivez-nous sur Twitter

N'oubliez pas de télécharger notre Application gratuite iAddict pour iPhone et iPad (lien App Store)

---

L’article Votre prochain smartphone coûtera plus cher, prévient Nothing est apparu en premier sur KultureGeek.

Au CES 2026, Narwal revient sur le devant de la scène pour consolider sa place dans le haut de gamme du robot-aspirateur et plus généralement dans les solutions de lavage. Au programme : un nouvel appareil SURPUISSANT et smart, enrichi d’un écosystème plus large…

Cette année, la marque ne vient pas seulement “montrer un robot”. Sur son stand, Narwal déroule une vision plus étendue du nettoyage domestique, en élargissant son écosystème avec des produits complémentaires comme des aspirateurs balais et un appareil dédié aux matelas. L’idée est simple : couvrir plus de situations, du sol aux tissus, tout en gardant une logique de gamme cohérente. Mais la star, c’est bien le Narwal Flow 2, présenté comme le nouveau flagship. Celui-ci revendique une IA épaulée par une double caméra 1080p pour mieux reconnaître et éviter les objets, et un vrai saut sur la fiche technique avec une aspiration annoncée jusqu’à 30 000 Pa et un lavage à l’eau chaude.

Là où Roborock fait le show avec un robot capable de grimper des escaliers, et où Ecovacs peaufine la gestion des taches, Narwal joue une carte moins spectaculaire mais potentiellement plus utile au quotidien : mieux “voir” ce qui traîne et sécuriser le nettoyage sans exiger un sol parfaitement rangé. Reste que la promesse ne se jugera pas sur la scène du CES : si le Flow 2 vise un vrai statut de flagship, il devra surtout convaincre sur la fiabilité et la maturité logicielle. Voyons ça d’un peu plus près…

Ecovacs Deebot X12 OmniCyclone : un “X11.1” ou un vrai remplaçant ?

Narwal Flow 2 : domotique et performances améliorées

Sur le Flow 2, Narwal mise d’abord sur ce qui fait (ou défait) un robot au quotidien : la capacité à circuler dans une maison imparfaite. Le robot s’appuie sur deux caméras RGB 1080p offrant un champ de vision de 136°, et sur une IA qui traite l’essentiel en local, avec la possibilité d’envoyer une image dans le cloud en cas de doute pour affiner l’analyse. L’objectif affiché : éviter les obstacles “au millimètre” et reconnaître des objets sans se limiter à une petite liste figée. Seulement, la navigation du Flow (V1) fonctionnait déjà sur des bases très solides : à quel point cette amélioration sera visible à l’œil nu ?

Concrètement, la nouveauté la plus parlante, c’est le mode qui repère des objets de valeur (bijoux, clés, etc.) : le Flow 2 garde ses distances (au moins 5 cm), puis envoie dans l’app une photo et la position sur la carte. C’est moins spectaculaire qu’un robot qui grimpe des marches, mais potentiellement beaucoup plus utile quand on ne veut pas “ranger pour pouvoir lancer le robot”.

Enfin, Narwal pousse des modes “famille” : silence près du berceau, évitement de zones sensibles (tapis de jeu / zones de déplacement), rappels quand des jouets traînent, et même des fonctions orientées animaux (repérer l’animal, nettoyer plus fort les zones où il vit). Là encore, la promesse est pertinente. La question sera la fiabilité (faux positifs, comportement en faible lumière, dépendance cloud).

Le nettoyage : toujours plus de puissance et lavage à l’eau chaude en continu

Sur le papier, Narwal muscle franchement la fiche technique avec une aspiration annoncée jusqu’à 30 000 Pa, et des briques maison comme CarpetFocus (adaptation sur tapis) et DualFlow Tangle-Free (réduction de l’enchevêtrement cheveux/poils). C’est le genre de combo qui, s’il est bien réglé, peut faire la différence sur les tapis épais et les foyers avec animaux.

Le point le plus intéressant reste cependant le lavage. Narwal conserve son approche “track mop” avec injection d’eau en temps réel pour garder une serpillière propre, et annonce une montée en température : le communiqué parle d’un lavage à l’eau chaude porté de 113°F à 140°F (≈ 60°C) et d’une pression constante de 12 N pour décoller les saletés tenaces.

La station et l’autonomie d’usage : des sacs à poussière réutilisables !

Narwal n’oublie pas la partie “vie avec le robot” : le Flow 2 garderait deux options de station (une simple réservoir, une avec remplissage/vidange automatiques), tout en ajoutant des éléments orientés maintenance minimale comme un sac à poussière réutilisable et des filtres revus (lavables / jetables selon cas). Côté logiciel, la marque met aussi en avant une cartographie TrueColor 3D “tap-to-clean” (jusqu’au mobilier) et une gestion de batterie pilotée par IA.

En somme, quelle avancée par rapport au Narwal Flow ?

Le Narwal Flow (V1) n’était pas un “concept CES” : c’était déjà un robot très abouti sur le lavage, avec une approche technique assez rare. Sur la fiche, on retrouve 22 000 Pa, un rouleau FlowWash auto-entretenu à l’eau chaude 113°F (45°C), et surtout une pression annoncée à 12 N (donc, pas un simple patin qui caresse le sol). Il ajoutait déjà une brique “intelligence” solide avec double caméra RGB + IA (jusqu’à 200 objets reconnus selon les specs reprises par Vacuum Wars), une serpillière qui peut se relever de 12 mm sur tapis, et un châssis ultra-plat (95 mm).

Ce que Narwal tente avec le Flow 2, c’est moins une révolution qu’un resserrage des vis là où la V1 était déjà bonne : plus de puissance (30 000 Pa), et surtout une IA plus “contextuelle” grâce à un système NarMind Pro annoncé comme nouveau, avec double caméras 1080p (FOV 136°) et une promesse forte : reconnaissance illimitée + modes “scénarios réels” (Pet Care, Baby Care, AI Floor Tag). Le truc le plus parlant au quotidien, c’est ce “Floor Tag” : le robot repère un objet de valeur, le prend en photo, le localise sur la carte et garde une distance de sécurité (The Verge parle d’au moins 5 cm). Côté lavage, Narwal annonce surtout une montée en température : 140°F (60°C) au lieu de 113°F (45°C), tandis que certains médias parlent de 158°F (70°C) — à traiter comme “selon les sources” tant qu’on n’a pas la fiche Europe définitive.

Là où le Flow (V1) laisse davantage de marge de progression, c’est sur la couche “expérience” : une application jugée dense, parfois capricieuse, et notamment quelques comportements irréguliers du mode Freo selon les intérieurs (gestion de la poussière, décisions de nettoyage pas toujours limpides). C’est précisément ce que le Flow 2 doit corriger pour mériter son statut de nouveau flagship : l’IA ne doit pas seulement “reconnaître plus d’objets”, elle doit rendre le robot plus fiable, plus prévisible et plus simple à vivre.

En résumé… et en attendant d’en savoir plus !

Critère	Narwal Flow (V1 – 2025)	Narwal Flow 2 (CES 2026)
Aspiration (max.)	22 000 Pa	30 000 Pa
Système de lavage	FlowWash “track/roller” auto-entretenu	FlowWash “track/roller” amélioré
Température eau chaude (lavage/entretien)	113°F (45°C)	140°F (60°C) (officiel)
Pression appliquée au sol (lavage)	12 N	12 N
Caméras / vision	Double caméras RGB + IA	2× 1080p RGB, 136°, modèle VLM “OmniVision”
Reconnaissance d’objets	~200 objets	“Unlimited object recognition” annoncé
“Tag” objets de valeur	—	Oui (photo + localisation dans l’app + priorité d’évitement)
Modes “famille”	IA / détection de saleté (DirtSense 2.0)	Pet Care + Baby Care + AI Floor Tag
Relèvement serpillière sur tapis	Oui (12 mm)	Non communiqué
Hauteur robot	95 mm	Non communiqué
Station / poussière	Sac 2,5 L, “jusqu’à 120 jours”	Sac 2,5 L, “jusqu’à 120 jours” réutilisable + filtre lavable
Prix / dispo	999 € (hors promo)	dispo annoncée avril 2026 ; pas de prix annoncé

Bonus : Narwal élargit l’écosystème (V50 & U50)

À côté du Flow 2, Narwal profite du CES pour élargir son champ d’action avec deux appareils complémentaires !

V50 : un aspirateur balai qui tient la route

Narwal met en avant un format léger (environ 3,1 lb / 1,4 kg) et une station avec auto-vidage, censée réduire la corvée de maintenance. Sur la fiche, plusieurs médias reprennent une puissance annoncée autour de 210 AW. Pour récupérer rapidement les miettes après un repas, les poils sur un plaid, ou nettoyer un palier sans relancer un cycle complet, c’est tout à fait pertinent, mais, sans prix communiqué, difficile de nous prononcer sur son intérêt réel…

U50 : un aspirateur matelas anti-acariens

Ici, Narwal vise clairement les foyers sensibles aux allergies, avec une approche “traitement” plus que simple aspiration : chaleur ~137°F, UVC, 60 000 taps/min et 16 000 Pa annoncés. C’est typiquement le produit niche qui attire l’œil sur un salon comme le CES et qui peut aussi faire un bon encart “hygiène” dans une gamme qui cherche à devenir plus globale. Toujours pas de prix, en revanche…

Et vous ? Êtes-vous plutôt du genre à vous équiper d’un seul et même écosystème ? Ou bien passez-vous d’une marque à une autre pour avoir le meilleur de l’électroménager selon les spécialités de chacun et les contraintes de votre propre domicile ? Dites-nous tout en commentaires !