Microsoft a dévoilé une feuille de route qui permet d'en savoir plus sur l'avenir des différentes versions d'Outlook. La version classique d'Outlook va disparaitre, dans quelques années, pour laisser la place au nouvel Outlook déjà disponible en version Preview. Voici ce qu'il faut savoir.
Entre les différentes versions d'Outlook, il y a de quoi s'y perdre. Et, il faudra attendre quelques années avant qu'être certain que tous les utilisateurs du client de messagerie utilisent la nouvelle version d'Outlook, basée sur une WebApp.
Actuellement, le nouvel Outlook a pour objectif de remplacer les applications Courrier et Calendrier de Windows. Toujours en version Preview, le nouvel Outlook est aussi la future version qui doit remplacer la version classique d'Outlook, notamment les versions commerciales utilisées par les clients de Microsoft. D'ailleurs, Microsoft a dévoilé une feuille de route où il est mentionné en introduction : "Les informations ci-dessous s'appliquent aux versions commerciales d'Outlook et non aux applications Windows Courrier et Calendrier."
Nouvel Outlook : la feuille de route de Microsoft
Pour lancer sa nouvelle application, Microsoft va procéder en trois étapes baptisées "opt-in", "opt-out" et "cutover". Actuellement, nous sommes dans la phase d'opt-in, c'est-à-dire que le nouvel Outlook, en version Preview, est proposé aux utilisateurs et c'est à eux de choisir s'ils veulent l'essayer, ou non. Ceci se traduit par la présence d'un bouton en haut à droite de la fenêtre pour vous inviter à l'essayer.
"À ce stade, nous maintiendrons la possibilité pour les utilisateurs d'exécuter côte à côte les versions classique et nouvelle d'Outlook, ce qui leur permettra de comparer leurs expériences tout en travaillant de manière transparente avec les deux produits.", précise Microsoft.
Pendant cette phase, Microsoft va sortir la première version stable du nouvel Outlook et le proposer à tous les utilisateurs. Il sera alors en General Availability. Pour autant, Microsoft ne donne pas de date.
Après avoir obtenu des premiers retours, et apportés d'éventuelles améliorations, Microsoft passera sur la seconde phase : l'opt-out. Cela signifie que le nouvel Outlook sera activé par défaut, et que ce sera à l'utilisateur de forcer la bascule vers la version classique d'Outlook s'il le souhaite. Autrement dit, la logique est inversée. La firme de Redmond précise qu'elle laissera 12 mois aux utilisateurs pour prendre une décision, et des paramètres seront accessibles aux administrateurs pour gérer le déploiement en entreprise.
Enfin, la troisième étape, nommée "cutover" sera déclenchée : le nouvel Outlook sera accessible à tous les utilisateurs et il ne sera plus possible de revenir en arrière, c'est-à-dire d'utiliser la version classique d'Outlook. Enfin, il y a quand même une exception : "Les installations existantes d'Outlook classique pour Windows sous licence perpétuelle continueront d'être prises en charge." - Tandis que pour les utilisateurs de Microsoft 365, le nouvel Outlook sera la seule version disponible : "Les nouveaux déploiements d'Outlook à partir d'abonnements à Microsoft 365 seront dotés du nouveau Outlook pour Windows."
Outlook classique pris en charge jusqu'en 2029
Aucune date précise n'est donnée dans la feuille de route, probablement car Microsoft n'en a pas encore connaissance avec certitude. Néanmoins, l'entreprise américaine a apporté des précisions sur la prise en charge de la version classique d'Outlook : "Nous continuerons à respecter les délais d'assistance publiés pour la version existante d'Outlook classique pour Windows au moins jusqu'en 2029.", ce qui devrait rassurer certains utilisateurs.
Par contre, pour ceux qui utilisent un abonnement Microsoft 365, la bascule vers le nouvel Outlook devrait être effectuée bien avant, même si Microsoft accorde des délais importants (12 mois de réflexions à deux reprises).
Dans ce tutoriel, nous allons effectuer le durcissement de configuration de machines sous Windows à l'aide d'un outil open source nommé HardeningKitty. Autrement dit, nous allons analyser la configuration de notre machine pour voir si elle répond aux bonnes pratiques en matière de sécurité.
Ceci est nécessaire car la configuration par défaut d'un système d'exploitation, que ce soit Linux ou Windows, n'est pas en adéquation avec les bonnes pratiques de sécurité. Certaines recommandations peuvent être trop contraignantes et la configuration doit être adaptée en tenant compte du contexte et des besoins de l'entreprise. Ainsi, c'est à l'administrateur système de faire le nécessaire pour améliorer la sécurité des postes de travail et des serveurs. Le hardening, ou durcissement, va permettre de réduire la surface d'attaque d'une machine.
Dans cet exemple, nous allons durcir la configuration d'un serveur Windows Server 2022, mais la procédure est identique pour une machine Windows 10 ou Windows 11 (d'ailleurs Windows 11 est utilisé pour la vidéo), ainsi que pour des versions plus anciennes de Windows Server. L'essentiel étant de récupérer l'image ISO d'installation depuis le site officiel de l'éditeur, en l'occurrence ici : Microsoft.
Vers qui se tourner pour obtenir des informations sur ces fameuses bonnes pratiques de configuration pour améliorer la sécurité de Windows ?
A. Microsoft Security Baselines
Tout d'abord, il faut savoir que Microsoft propose un ensemble de documents baptisés "Microsoft Security baseline" et correspondants à chaque version de Windows, Windows Server, et certaines applications comme le navigateur Microsoft Edge.
À chaque fois, Microsoft propose une documentation pour lister chaque paramètre à configurer et de quelle façon. Celle-ci est accompagnée par des modèles de GPO, ainsi que des modèles d'administration pour ces mêmes GPO (ADMX), et des scripts PowerShell.
Security Baseline pour Windows Server 2022 - Aperçu
Vous pouvez télécharger ces documents via ce lien.
B. Les guides du CIS Benchmark
Le CIS (Center for Internet Security) propose un ensemble de guides de bonnes pratiques pour de nombreux produits et services : Windows, Windows Server, Debian, Cisco, Apache, Fortinet, Google Chrome, Google Workspace, Kubernetes, SQL Server, VMware, Azure, etc... Ces guides, maintenus à jour au fil des versions, ont une excellente réputation. Ils sont très souvent utilisés comme référence lorsque l'on souhaite durcir la configuration d'un système ou d'une application.
Vous pouvez télécharger ces guides gratuitement, après avoir complété un formulaire où l'on vous demandera quelques informations vous concernant.
Si l'on prend l'exemple du guide dédié à Windows Server 2022, il contient 1065 pages. Pour chaque paramètre de configuration à modifier, vous avez une description, des notes, une explication (quel est l'intérêt d'activer / configurer tel paramètre), et les impacts potentiels. Il existe également des versions estampillées STIG (Security Technical Implementation Guide) où il y a un focus supplémentaire sur la partie cybersécurité.
Très intéressant, mais rapidement chronophage.
Vous pouvez télécharger ces guides via cette page.
C. Les autres ressources
Au-delà des ressources proposées par Microsoft et les guides du CIS, nous pouvons compter sur ceux d'autres organisations et entités : l'ANSSI en France, la BSI en Allemagne (l'équivalent de l'ANSSI), la CISA aux Etats-Unis, etc...
Mais à chaque fois, vous ferez surement le même constat :
Comment comparer les recommandations d'un guide avec la configuration d'un serveur ou d'un poste de travail ?
Comment configurer un serveur ou un poste de travail afin de respecter les bonnes pratiques sans devoir y passer "un temps fou" ?
C'est exactement pour répondre à ces deux problématiques que vous devez vous intéresser à HardeningKitty.
III. Découverte de HardeningKitty
A. HardeningKitty, c'est quoi ?
HardeningKitty est un outil gratuit que vous pouvez utiliser à la fois pour auditer la configuration de votre système et effectuer le durcissement de celle-ci. HardeningKitty est capable de s'appuyer sur la liste de recommandations de l'auteur de l'outil, mais également d'autres "security baselines" comme celles de Microsoft et du CIS. Ainsi, vous allez pouvoir automatiser le hardening de Windows 10, Windows 11, Windows Server, etc.
Le durcissement va modifier différents composants et services de votre système d'exploitation dans le but de réduire la surface d'attaque (ASR), configurer les journaux d'audit de Windows, configurer le pare-feu Windows Defender, activer / désactiver / configurer certaines fonctionnalités, etc. Dans une grande majorité des cas, HardeningKitty modifie le Registre pour effectuer la configuration.
Pour accéder au projet HardeningKitty sur GitHub, il y a deux liens. Un lien vers le projet source d'origine, et un lien vers un autre dépôt où vous pouvez retrouver chaque version stable signée par le certificat de scip AG. Ceci signifie que le script PowerShell d'HardeningKitty peut être exécuté sur une machine Windows même si elle autorise uniquement l'exécution de scripts signés (ceci fait écho à la stratégie d'exécution PowerShell).
Avant d'effectuer des modifications en masse sur votre machine Windows, il est primordial d'assurer vos arrières. Autrement dit, prenez les précautions habituelles : testez les modifications sur un environnement de tests et vérifiez vos sauvegardes.
Au-delà de permettre l'audit de la configuration d'une machine, HardeningKitty peut déployer la nouvelle configuration durcie. Forcément, ceci peut être à l'origine d'un ou plusieurs effets de bords. Nous verrons également qu'il y a une fonction de "backup" dans HardeningKitty.
Remarque : vous pouvez aussi envisager d'effectuer une sauvegarde de la base de Registre Windows, et même créer un snapshot s'il s'agit d'une machine virtuelle.
IV. Utilisation d'HardeningKitty sur Windows
A. Télécharger HardeningKitty
Commencez par télécharger la dernière version signée depuis GitHub. Pour ma part, il s'agit de la version 0.9.2. Vous obtenez une archive ZIP qu'il suffit de décompresser afin d'obtenir un ensemble de fichiers, notamment le module PowerShell correspondant à HardeningKitty.
Notez également la présence du dossier "lists" qui contient un ensemble de fichiers CSV : un fichier CSV par liste de bonnes pratiques supportées par l'outil.
Nous avons à chaque fois deux fichiers CSV : un pour les paramètres de l'ordinateur (machine) et un pour les paramètres de l'utilisateur (user).
B. Sauvegarde de la configuration actuelle
Avant même d'auditer notre configuration ou d'effectuer la moindre modification sur le système, nous allons sauvegarder l'état actuel. Attention, quand vous utilisez HardeningKitty, vous devez effectuer une sauvegarde correspond à la liste ou aux listes que vous envisagez de "déployer" par la suite.
Dans cet exemple, nous allons utiliser ces deux listes :
CIS Microsoft Windows Server 2022 (Machine) - 22H2 - 2.0.0
Soit le fichier : finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine.csv
CIS Microsoft Windows Server 2022 (User) - 22H2 - 2.0.0
Soit le fichier : finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_user.csv
Ouvrez une console PowerShell en tant qu'administrateur afin de pouvoir utiliser l'outil.
Positionnez-vous dans le répertoire d'HardeningKitty et importez le module :
cd C:\users\Administrateur\Downloads\HardeningKitty-v.0.9.2\
Import-Module .\HardeningKitty.psm1
Pour effectuer la sauvegarde des paramètres machines et utilisateurs pour les listes évoquées ci-dessus, utilisez ces commandes :
À chaque fois, nous obtiendrons un fichier de "sauvegarde" au format CSV dont le nom sera constitué de la façon suivante :
Backup_<nom de l'ordinateur>_<Date et heure actuelle>_<Machine ou User>.csv
Quelques secondes ou minutes sont nécessaires pour effectuer la sauvegarde.
Quand c'est fait, nous obtenons deux fichiers :
C. Auditer la configuration de la machine
La sauvegarde de la configuration étant effectuée, nous allons pouvoir auditer notre machine. Là encore, nous allons bien spécifier les noms des listes que nous souhaitons utiliser comme référence.
HardeningKitty doit être utilisé en mode "Audit" :
À chaque fois, HardeningKitty indique une note globale ainsi que le nombre de paramètres vérifiés et les résultats associés. Ici, nous pouvons qu'il y a eu 459 paramètres vérifiés et qu'il y en a 312 points de configuration à améliorer. L'idée étant de se concentrer en priorité sur ceux considérés comme "Medium" et "High". Imaginez un instant effectuer toutes ces corrections manuellement...
Your HardeningKitty score is: 3.57. HardeningKitty Statistics: Total checks: 459 - Passed: 147, Low: 43, Medium: 269, High: 0.
Le résultat dépend clairement de la liste utilisée. En effet, sur une même machine, mais avec la liste de vérification par défaut de l'outil (qui est le fruit de l'expertise de l'auteur de cet outil - Elle est estampillée Windows 10 !), le score obtenu est totalement différent :
Your HardeningKitty score is: 3.22. HardeningKitty Statistics: Total checks: 391 - Passed: 79, Low: 68, Medium: 243, High: 1.
Si l'on s'appuie sur la liste de Security Baseline de Microsoft pour Windows Server 2022, en prenant la configuration adaptée pour les contrôleurs de domaine (ici, l'outil est utilisé sur un DC), le résultat est encore différent :
Afin de pouvoir effectuer une analyse et avoir un bon aperçu de l'état actuel de la configuration du serveur, il est préférable de générer un rapport d'audit. Ceci est déjà le cas avec le paramètre "-Report". HardeningKitty va générer un fichier CSV que l'on pourra exploiter dans Excel.
Pour créer un rapport avec le nom de votre choix, ajoutez le paramètre "-ReportFile" suivi du nom du fichier. Nous allons réutiliser la même logique pour le nom du fichier de rapport. Voici un exemple :
Lorsque la phase d'audit est terminée, vous pouvez passer à l'action : demander à HardeningKitty de durcir la configuration de votre machine.
Remarque : comment est calculé le score d'audit ? Sachez que la formule utilisée pour calculer le score d'HardeningKitty est la suivante : (Points obtenus / Maximum de points) * 5 + 1.
D. Durcir la configuration de la machine
Pour durcir la configuration de la machine Windows Server 2022, nous utilisons le mode "HailMary" (Ave Maria). A ce sujet, la documentation officielle précise : "La méthode HailMary est très puissante. Elle peut être utilisée pour déployer une liste de résultats sur un système. Tous les résultats sont placés sur ce système selon les recommandations de la liste. Le pouvoir s'accompagne de la responsabilité. N'utilisez ce mode que si vous savez ce que vous faites. Assurez-vous d'avoir une copie de sauvegarde du système."
Le mode HailMary va nous permettre de déployer tous les paramètres de configuration contenus dans les deux listes que nous avons choisi d'utiliser.
Voici la commande à exécuter pour déployer les paramètres ordinateurs :
Sachez qu'avant d'effectuer des modifications sur votre machine, HardeningKitty va créer un point de restauration. Si le point de restauration ne peut pas être créé, ce qui sera le cas sur Windows Server car il faut utiliser la Sauvegarde Windows à la place, l'opération est arrêtée immédiatement. Nous devons donc réexécuter les commandes avec le paramètre "-SkipRestorePoint".
À chaque fois, et puisque nous avons précisé les paramètres "-Log" et "-Report", un fichier journal et un fichier de rapport (CSV) seront générés. Le fichier de log reprend toutes les lignes visibles dans la console. Voici un extrait du fichier journal "hardeningkitty_log_srv-adds-01_finding_list_cis_microsoft_windows_server_2022_22h2_2.0.0_machine-20240228-113957.log" :
[*] 28/02/2024 11:40:15 - Starting Category Administrative Templates: Windows Components
ID 18.10.89.1.1, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Client, AllowBasic, Registry key created
ID 18.10.89.1.1, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Client, AllowBasic, Registry value created/modified
ID 18.10.89.1.2, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Client, AllowUnencryptedTraffic, Registry value created/modified
ID 18.10.89.1.3, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Client, AllowDigest, Registry value created/modified
ID 18.10.89.2.1, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Service, AllowBasic, Registry key created
ID 18.10.89.2.1, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Service, AllowBasic, Registry value created/modified
ID 18.10.89.2.2, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Service, AllowAutoConfig, Registry value created/modified
ID 18.10.89.2.3, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Service, AllowUnencryptedTraffic, Registry value created/modified
ID 18.10.89.2.4, HKLM:\Software\Policies\Microsoft\Windows\WinRM\Service, DisableRunAs, Registry value created/modified
Mais, priorisez la lecture du rapport avec Excel, ou un autre outil, pour l'analyse post-hardening. Ce rapport permet d'avoir une liste exhaustive des changements de configuration effectués.
Par la suite, si vous avez besoin de revenir en arrière, vous pouvez restaurer la configuration via cette commande (en adaptant le nom du fichier CSV) :
Si vous souhaitez durcir la configuration de vos machines en vous appuyant sur les recommandations de Microsoft, du CIS, du BSI, ou du DoD, alors HardeningKitty est probablement l'outil qu'il vous faut ! L'utilisation de cet outil devrait vous permettre de gagner énormément de temps. Néanmoins, vous devez prendre le temps d'analyser le contenu de ces guides et devez avoir une bonne connaissance de votre infrastructure et de ses particularités. Ceci vous permettra d'anticiper les éventuels effets de bords.
D'ailleurs, si vous envisagez de déployer la configuration recommandée par le CIS Benchmark, vous devez parcourir chaque guide afin d'avoir un aperçu des fonctions et services de Windows qui seront affectés lorsque le déploiement sera fait avec HardeningKitty. Cette recommandation s'applique également pour les autres guides.
Le seul bémol, c'est le fait qu'il soit nécessaire de l'exécuter machine par machine : ce qui pourra s'avérer utile lors de la création d'un master (image de référence) pour vos postes de travail ou serveur. En effet, ceci vous permettra de créer une image durcie.
HardeningKitty intègre bien un paramètre mode "GPO" (-Mode GPO) permettant de convertir une liste de résultats en une stratégie de groupe (GPO). Toutefois, ceci semble encore expérimental : "Pour l'instant, seuls les paramètres de registre peuvent être convertis et tout n'a pas encore été testé."
Si vous utilisez un NAS QNAP, vous devez installer la dernière mise à jour du système dès que possible ! Le fabricant taïwanais vient de corriger 3 failles de sécurité critiques ! Faisons le point.
QNAP a mis en ligne un bulletin de sécurité faisant référence à trois vulnérabilités découvertes dans ses différents systèmes : QTS, QuTS hero, QuTScloud, et myQNAPcloud. Il s'agit de systèmes utilisés par les produits de la marque, notamment les NAS.
Il est à noter que la faille de sécurité CVE-2024-21899 peut être exploitée à distance, sans être authentifié. De plus, cette vulnérabilité peut être exploitée facilement, et sans interaction de la part d'un utilisateur.
Voici ce que précise QNAP au sujet de cette faille de sécurité critique : "Si elle est exploitée, cette vulnérabilité de type improper authentication pourrait permettre aux utilisateurs de compromettre la sécurité du système via le réseau. - Même si ce n'est pas explicitement indiqué, nous pouvons imaginer que cette vulnérabilité permet de compromettre le NAS, ou d'accéder à des données.
Les deux autres vulnérabilités, associées aux références CVE-2024-21900 et CVE-2024-21901, sont aussi considérées comme critiques. La première permet d'exécuter des commandes à distance, tandis que la seconde est une injection SQL qu'un attaquant peut également exploiter à distance. Toutefois, bien qu'elles soient critiques, le risque d'exploitation est moins élevé, car il faut être authentifié pour exploiter ces deux vulnérabilités.
Quelles sont les versions affectées ?
Voici la liste des versions affectées, pour chaque système :
QTS 5.1.x et QTS 4.5.x
QuTS hero h5.1.x et QuTS hero h4.5.x
QuTScloud c5.x
myQNAPcloud 1.0.x
Comment se protéger ?
Pour vous protéger de ces failles de sécurité, vous devez utiliser l'une de ces versions :
QTS 5.1.3.2578 build 20231110 et supérieur
QTS 4.5.4.2627 build 20231225 et supérieur
QuTS hero h5.1.3.2578 build 20231110 et supérieur
QuTS hero h4.5.4.2626 build 20231225 et supérieur
QuTScloud c5.1.5.2651 et supérieur
myQNAPcloud 1.0.52 (2023/11/24) et supérieur
Pour le moment, rien n'indique que ces vulnérabilités sont exploitées par des cybercriminels dans le cadre d'attaques. Néanmoins, la faille de sécurité CVE-2024-21899 pourrait intéresser les pirates dans les prochaines semaines, notamment, car elle s'exploite à distance et sans être authentifié. Étant donné qu'il y a de nombreux NAS exposés sur Internet, ceci représente un réel risque.
Il y a un mois, nous apprenions l'existence d'une nouvelle faille de sécurité critique présente dans la fonction de VPN SSL des appareils FortiGate et FortiProxy de chez Fortinet. Aujourd'hui encore, il y a encore près de 150 000 équipements vulnérables. Faisons le point sur cette menace.
Rappel sur la CVE-2024-21762
La vulnérabilité associée à la référence CVE-2024-21762 est une faille de sécurité critique de type "out-of-bounds write", avec un score CVSS est de 9.6 sur 10, présente dans le système FortiOS de Fortinet. D'après l'entreprise américaine, cette vulnérabilité affecte les firewalls FortiGate et les équipements FortiProxy. En l'exploitant, un attaquant non authentifié peut exécuter du code à distance sur l'équipement pris pour cible, à l'aide d'une requête spécialement conçue dans ce but.
D'ailleurs, d'après l'agence américaine CISA, cette vulnérabilité a été activement exploitée dans la foulée de sa divulgation. La CISA avait ordonné aux agences fédérales américaines de protéger leurs appareils FortiOS contre cette vulnérabilité avant le 16 février 2024.
D'après les derniers chiffres de The Shadowserver Foundation, au niveau mondial, il y a encore environ 150 000 équipements exposés sur Internet et vulnérables à la faille de sécurité CVE-2024-21762. Ce chiffre est fou, surtout que cette vulnérabilité a été très largement médiatisée...
Si l'on regarde la carte publiée par The Shadowserver Foundation, nous pouvons constater qu'il y a plus de 4 400 équipements Fortinet vulnérables en France, au même titre qu'au Canada, à quelques équipements près. En Suisse, il y a 1 700 équipements vulnérables, tandis qu'on en compte approximativement 1 500 pour la Belgique. À titre de comparaison, il y en a plus de 24 000 aux États-Unis.
J'en profite pour rappeler qu'il existe des correctifs de sécurité, publiés par Fortinet et disponible depuis 1 mois. Enfin, sachez que vous pouvez vérifier si votre VPN SSL est vulnérable en exécutant ce script Pythondéveloppé par les chercheurs de la société BishopFox.
Dans ce nouvel article, nous allons découvrir un mini PC : le BMAX B8 Pro, un modèle ultra compact qui n'est pas sans rappeler le format de la gamme NUC de chez Intel (désormais abandonnée). Voici une présentation et un avis sur ce modèle.
BMAX propose une large gamme d'ordinateurs compacts et le BMAX B8 Pro est l'un des modèles les plus récents ! Cela ne l'empêche pas d'avoir une belle configuration puisqu'il est équipé d'un processeur Intel Core i7, de 24 Go de RAM et d'un SSD NVMe de 1 To. Autant vous dire qu'il s'adresse aux utilisateurs plutôt exigeants !
Peu encombrant, les mini-PC conviennent à de nombreux usages, que ce soit pour faire de la bureautique, du multimédia, mais ils sont aussi idéal pour se faire un Lab à la maison ! De ce fait, je vais m'intéresser au côté "évolutif" de ce modèle.
Commençons par découvrir les caractéristiques principales de ce modèle :
Processeur : Intel Core i7-1255U (10 cœurs - 12 threads - Jusqu'à 4.70 GHz en mode Turbo)
GPU : Intel Iris Xe (intégrée au processeur)
RAM : 24 Go LPDDR5
Stockage : 1 To SSD NVMe et 1 emplacement vide pour disque 2.5 pouces
Connectique en façade : 2 x USB 3.0, 1 x USB-C et 1 x Jack (prise audio)
Connectique à l'arrière : 2 x USB 2.0, 2 x HDMI 2.1 et 1 x RJ45 1 Gbit/s
Affichage : prise en charge de deux écrans grâce aux deux ports HDMI (4K @ 60 Hz), voire même trois écrans grâce à l'USB-C
WiFi 6, Bluetooth 5.2
Alimentation : 19V/2.5A DC
Poids : 370 grammes
Dimensions (L x W x H) : 12.5 × 11.2 × 4.4cm
Système d'exploitation : Windows 11
Prix : 419.99 euros
III. Package, design et conception
Le carton a pris quelques coups pendant le transport, mais le matériel est indemne ! A l'intérieur, le mini PC est correctement protégé par un bloc de mousse assez épais, et c'est tant mieux ! Le mini PC est accompagné par une alimentation externe, un câble HDMI, un guide utilisateur, ainsi que quelques vis et un adapteur métallique permettant de l'installer à l'arrière d'un écran (via le support VESA).
Très léger et très compact, ce modèle ne prendra que peu de place sur votre bureau. Il peut même être invisible s'il est installé à l'arrière d'un écran... Pour ma part, ce sera posé sur le bureau car le support VESA de mes écrans est déjà occupé par un support multi-écrans.
Le boitier est entièrement en plastique et totalement gris, si ce n'est la partie supérieure qui est noire, brillante, et qui intègre le logo BMAX. Si l'on retourne le boitier, nous pouvons constater qu'il y a 4 patins antidérapants, ainsi que deux pas de vis en attente pour venir fixer le support métallique (si nécessaire).
A l'avant et à l'arrière du boitier, nous retrouvons la connectique évoquée dans la partie précédente de cet article. Sur le côté gauche, la coque du boitier est conçue de façon à laisser passer l'air, tout comme sur le côté droit où il y a une ouverture pour le dissipateur du processeur.
Le boitier est parfaitement assemblé et les finitions sont excellentes. Les plastiques sont propres, il n'y a pas la moindre rayures. Le boitier de ce BMAX aspire confiance ! Pour ceux qui ont déjà manipulé un NUC Intel, vous ne serez pas déçu.
IV. Evolutivité et performances
A. Mise en route et évolutivité
Dans cette partie de l'article, nous allons évoquer la mise en route du PC, les performances, et le côté évolutif de ce mini PC que j'ai eu l'occasion d'utiliser pendant plusieurs semaines. Ce modèle est livré avec Windows 11 Pro version 22H2 (licence valide), mais rien ne vous empêche d'installer un autre système (BMAX met en avant une compatibilité avec Ubuntu, par exemple). Windows 11 Pro est livré avec les applications de bases poussées par Microsoft et Google Chrome en supplément.
Quelques secondes suffisent pour démarrer le PC et accéder à sa session : nous remercions le processeur et le SSD ! Le PC se connecte sans problème au réseau grâce à sa puce Wi-Fi Realtek ou à son port RJ45. Si vous avez un réseau Wi-Fi 6 en 5 GHz, le B8 Pro pourra s'y connecter sans problème.
Lancé début 2022, le processeur Intel Core i7-1255U a une fréquence turbo annoncée à 4.7 GHz, mais sa fréquence nominale de base est un peu faible : 1.7 GHz. Toutefois, c'est un modèle facile à intégrer dans les mini PC et les laptops, et qui est peu gourmand en énergie : on le retrouve dans de nombreuses machines, notamment chez HP et ASUS.
BMAX a doté le modèle B8 Pro de 24 Go de RAM. D'ailleurs, c'est étonnant comme quantité de RAM : pourquoi pas 16 Go ou 32 Go qui sont des valeurs "plus habituelles" ? Je n'ai pas la réponse. D'un côté, 24 Go c'est déjà intéressant si l'on envisage de faire tourner quelques machines virtuelles... D'autant plus que la RAM est soudée à la carte mère, donc ce n'est pas évolutif.
Si l'on retire les 4 vis situées sous le boitier, nous pouvons l'ouvrir. L'occasion de constater qu'il y a bien un emplacement pour ajouter un disque SSD ou un disque dur au format 2.5 pouces. Nous avons également accès au disque SSD de 1 To, modèle "E940" dont j'ignore la marque (à voir sa durée de vie dans le temps !) : si besoin, nous pouvons le changer facilement.
B. Performances
J'ai eu l'occasion d'utiliser ce PC pour faire tourner plusieurs machines virtuelles, de quoi exploiter la RAM à ma disposition. Par exemple, aucun souci avec 3 VM Windows avec chacune 4 Go de RAM. De plus, l'espace de stockage de 1 To est confortable pour cet usage, surtout si les VMs ont des disques virtuels dynamiques.
En ce qui concerne les performances brutes, sachez que si l'on effectue du copier-coller de gros fichiers en local, sachez que le débit est d'environ 1 Go/s ! Voici le résultat d'un test effectué avec Crystal Disk Mark :
J'ai également effectué un benchmark du CPU et du GPU avec Geekbench, vous pouvez y accéder sur cette page :
Au-delà de la bureautique, sachez que ce modèle peut être utilisé pour faire du rétrogaming. Par exemple, avec l'émulateur RPCS3 pour les jeux de PS3, il fonctionne très bien. Finalement, c'est un modèle performant et polyvalent qui grâce à son Core i7, ses 24 Go de RAM et son téra-octets de stockage SSD NVMe parviendra à satisfaire de nombreuses personnes.
Par la suite, j'envisage d'utiliser ce modèle avec un autre système d'exploitation (probablement Proxmox ou VMware ESXi), ce qui me permettra de vous en parler dans un autre article. Ici, je préférais conserver le modèle dans sa configuration d'origine.
V. Conclusion
Chez BMAX, le B8 Pro se présente comme l'un des modèles les plus performants pour satisfaire les utilisateurs qui ont besoin d'un espace disque important et d'une quantité de mémoire vive non négligeable. Je suis agréablement surpris par la qualité de fabrication de ce mini PC et par ses performances ! Sachez que je l'utilise depuis plusieurs semaines pour faire tourner des machines virtuelles Windows et Linux.
Même si je suis légèrement frustré de ne pas pouvoir faire évoluer la RAM, ou qu'il ne soit pas livré avec 32 Go de RAM directement : ce processeur Intel Core i7 serait tout à fait capable de gérer un peu plus de RAM. C'est un point important à prendre en considérations.
Sur le site Geekbuying, le BMAX B8 Pro est proposé à 419.99 euros ! Il est expédié depuis l'entrepôt européen directement, ce qui signifie que vous n'aurez pas de frais de douane, en plus d'avoir une livraison rapide. Il y a régulièrement des codes promos ou des réductions, donc n'hésitez pas à vérifier son prix en utilisant le lien ci-dessous.
