Sécurité, Design, Réseaux et développement - Weblog de Félix Aimé

Twitter et un point sur la sécurité du « tout-ouvert »

août 21st, 2009

Suite au piratage de la firme Twitter ayant eu lieu il y a quelques mois et faisant encore maintes et maintes rebondissements aujourd’hui, il est primordial de faire un point sur la sécurité de ce que je qualifie de « tout-ouvert » mais que l’on pourrait par ailleurs appeler le « tout-API ».

Aujourd’hui, de plus en plus de services et de réseaux sociaux misent sur les API pour permettre aux utilisateurs une réelle appropriation de leur service et ainsi, récolter un maximum de membres. Le piratage de Twitter n’est en aucun cas lié au « tout-API », mais aux vulnérabilités du could-computing et surtout à la capacité des administrateurs de Twitter de faire confiance à un système vulnérable en soi. D’ailleurs, je ne comprend pas encore pourquoi ils laissent aux yeux de Google (un de leurs concurents) par l’intermédiaire de GoogleDocs des documents confidentiels et extrêmement préjudiciables pour leur entreprise…

Cependant, ce piratage amène à s’intéresser aux services professionnels et amateurs développés en parallèle des sites web 2.0 grâce aux différentes API mises à disposition par les développeurs. Ces derniers présentent de nombreuses vulnérabilités, pas uniquement liées aux vulnérabilités lambda du type XSS permettant le vol de compte des membres. Elles peuvent se transformer être de véritables risques, tant pour les utilisateurs, que pour d’autres sites Internet pouvant par l’intermédiaire du piratage de ces services subir de véritables DDos ou être le relai d’attaques plus pointues.

1. Vulnérabilités

Bref, voilà ce que l’on peut dire sur les types d’attaques dont peuvent être victimes les différents services et ce que cela peut engendrer pour les victimes :

Vol de session permettant, selon le type de configuration du service, de poster certaines informations à la place de l’internaute. Et peut-être, de pouvoir de fil en aiguille s’identifier totalement sur le site source produisant l’API à la place de l’internaute.

Attaque MIM, récupération des identifiants. Une large partie des services utilisant les API de certains réseaux sociaux demandent à l’internaute de s’identifier sur leur site – pour pouvoir, par exemple, poster un message à la place de l’internaute automatiquement -. Cependant, ces identifications sur certains services (une majorité) n’utilisent pas un protocole sécurisé -SSL- pour transmettre les identifiants du client vers leur serveur, permettant ainsi l’interception de ces derniers dans un réseau local. Ainsi, cela permet de contourner pour un pirate le https mis en place par certains réseaux sociaux pendant l’identification de leur membre.

Vulnérabilités lambda des services web Entre SQLi, XXS, CSRF, failles « d’upload », includes locales, injections dans des fichiers etc. Nous pouvons trouver de tout sur les services rattachés aux APIs de certains réseaux sociaux. Ceci permettant de faire un peu ce que l’on veut (ouverture d’un shell, mise en place d’une backdoor sur les différents serveurs, piratage des bases de données etc.). Cependant, les pirates auront – je pense – une attention toute particulière pour backdoorer les mécanismes d’identification des membres afin de récupérer les identifiants de ces derniers. Ils attaqueront – suivant leurs envies – ensuite les sessions des membres sur le réseau social promulguant les API, mais également testeront les mots de passes récoltés sur différents sites où les membres se sont sans doute inscrits ainsi que sur les webmails. D’autres s’amuseront peut-être avec la récupération des identifiants à inonder les services de micro-blogging de messages…

Hijacking des URLs Cette vulnérabilité pèse surtout sur les shorteners d’URL du type bit.ly ou tinyurl.com. Imaginez ce que peut ressentir un site internet étant pointé par des millions d’URLs potentiellement cliquables plusieurs fois par des utilisateurs. Le problème est à relever et la sécurité des shorteners d’URL est aujourd’hui un point critique auquel il faut faire très attention. D’ailleurs, ce problème est déjà arrivé au service Cligs, re-dirigeant deux millions d’URL vers un seul site… qui n’a pas tardé à tomber. Voir un article à ce sujet ici ou là.

2. Contre-mesures

Les contre-mesures à appliquer sont assez simples pour les utilisateurs de réseaux sociaux, utilisez au minimum des services bâtis sur les API de certains services web, surtout quand ces derniers demandent une identification n’étant pas sécurisée. Il faut aussi essayer de deviner quels services sont susceptibles de garder dans leurs bases de données vos mots de passes en clair (cela est déductible assez facilement, si vous vous inscrivez à un service qui agit régulièrement sur votre Twitter sans votre intervention (transposition de flux RSS etc.)).

Pour ce qui est des développeurs de services reposant sur des API, engager un hacker/pirate/spécialiste (rayez la mention inutile) reste la meilleure solution afin de tester les différentes vulnérabilités qui peuvent siéger dans le système. Après libre à eux de le faire ou non, cependant la qualité de service risque à tout moment de passer à la trappe si des audits de sécurité ne sont pas faits régulièrement sur les différentes sphères du système d’information régissant le webservice. (acteurs, physique, application).

3. Conclusion

Tout comme les plugins pour les CMS, les services utilisant des API de certains sites communautaires répandent leurs vulnérabilités au grès de leurs créations augmentant ainsi les risques de rendre tout un système vulnérable. Cependant, ces vulnérabilités (et c’est là toute la chose) ne se concentrent pas au seul site internet du service utilisant l’API d’un énième site communautaire, mais peuvent être utilisés contre les utilisateurs des sites communautaires et contre d’autres sites internet.

Je pense que Twitter – même si la sécurité n’est pas leur fort – (ou d’autres sites communautaires) devraient avoir le droit de jeter un coup d’oeil sur les sources des scripts et des serveurs sur lesquels reposent les services utilisant leur API. C’est tout de même les utilisateurs du site internet diffusant les API les premiers attaqués. Bref, j’espère que cette petite parenthèse vous à un peu informé sur les risques du « tout-API » même si je n’ai pas énuméré l’intégralité des failles (ce qui est en soit impossible). Je prédis cependant une hausse significative des piratages de comptes utilisateurs par l’intermédiaire de ces services dans les prochains mois. D’ici là, prenez garde à vous ! NIARK :D

Tags: API, attaques, facebook, identifiants, man in the middle, password, sécurité, security, twitter
Posted in Sécurité des systèmes d'information | 1 Comment »

Knock Knock Neo – Installation de port-knocking sur une BOX

août 21st, 2009

Le port-knocking est une technique assez méconnue des administrateurs serveurs, cependant, elle est l’une des meilleures afin d’établir des règles dynamiques de Firewall tout en étant extrêmement simple à mettre en place sur un serveur. Cette technique peut aussi servir à exécuter d’autres commandes et à démarrer des services, sans pour autant avoir un shell sous la main. Ce petit article va faire une brève description de ce qu’est le port-knocking, et ensuite, la mise en place de ce dernier sur une Ubuntu/Debian (la configuration ne change pas, seule l’installation change selon les distributions.)

1. Port-knockwa ?

Même si ce nom est assez barbare pour un français, son sens est devinable en deux secondes. Il veut littéralement signifier frapper sur les ports (…pour ouvrir la porte). En deux mots, c’est comme dans tous les films d’espionnage amateurs, on toc à la porte selon une certaine séquence afin que la personne étant derrière la porte sache que c’est vous pour venir l’ouvrir (voir le film Léon…).

Cette technique, passée à la moulinette informatique se traduit par la modification des règles de Firewall à la volée, suite à l’envoi par un client d’une séquence de paquets SYN sur différents ports de la BOX. Par exemple, la séquence de paquets SYN sur les ports 45324, 15432 et 23942 changera les règles d’Iptables afin d’accepter la réception de paquets sur le port 22 provenant de l’IP source (envoyant les paquets SYN). Nous ferons une autre séquence afin de refermer la porte derrière nous à la fin de notre session SSH.

2. L’intérêt du port-knocking

L’intérêt est simplement d’interagir avec le serveur sans passer par une connexion distante, ainsi, nous pouvons ouvrir un service, changer son état ou modifier les règles de son fonctionnement. Il est principalement utilisé par pour manipuler les Firewalls afin d’ouvrir des ports prétendus bloqués. Ceci permettant ainsi d’éviter les attaques sur certains services par des Botnets remuant un peu trop les logs, ou des attaques ciblés contre votre box se faisant à la main.

La chance de tomber par hasard sur la bonne combinaison pour un pirate est extrêmement petite (pour vous faire une petite idée) :

   * 65535^2 = 4 294 836 225 possibilités
   * 65535^3 = 2.81462092 × 10^14 possibilités
   * 65535^4 = 1.84456182 × 10^19 possibilités
   * etc...

Autant vous dire que cette protection va limiter grandement le pirate dans ses tentatives d’attaque tellement les possibilités sont énormes, cependant, il existe quelques faiblesses matérielles et humaines à cette technique.

3. Faiblesses

Il existe deux principales faiblesses à cette technique de port-knocking. Tout d’abord, la possibilité pour un attaquant d’effectuer une attaque Man In The Middle (Monkey in the Middle pour les intimes) en local permettant ainsi de récupérer la séquence dans le flot de données en sniffant simplement la connexion.

Une seconde vulnérabilité est plus imputable à l’humain, ainsi, nous avons pas un random service intégré dans notre cerveau donc souvent, un pirate expérimenté pourra tenter de deviner les numéros de ports employés par l’administrateur, souvent des multiples ou une séquence facilement mémorisable. (sans parler de l’administrateur qui laisse par défaut la séquence contenue dans le fichier de configuration après installation ou la lecture d’un tutoriel…).

Nous pouvons aussi noter d’autres faiblesses où le pirate doit avec accès au client exécutant knockd, ainsi, si l’administrateur ne supprime pas ses logs de sessions sur le terminal, le pirate pourra avoir la suite des ports en faisant un petit $cat .bash_history

Après avoir vu les faiblesses, nous allons passer à l’installation et la configuration du serveur, puis ensuite, l’utilisation du système de port-knocking avec un client.

4. Installation et configuration

Vu que nous n’allons pas réinventer la roue, nous allons utiliser un logiciel déjà développé afin de mettre en place la solution de port-knocking, son nom : knockd. L’installation (sur une Débian) se fait facilement avec un petit :

   * (# | sudo ) apt-get install knockd

Cela va installer proprement (et tant mieux…) le programme. Après, nous allons passer à la configuration de la chose, vous allez voir, c’est d’une simplicité détonante. Donc c’est parti, tapez dans votre shell (je sais, j’utilise nano et j’aime ça) :

   * (# | sudo ) nano /etc/default/knockd

Hop, là dans ce fichier knockd nous allons configurer le demon afin qu’il sache sur quelle interface réseau écouter et s’il doit s’exécuter au démarrage de la machine. pour ce faire, il suffit simplement de mettre :

   * START_KNOCKD=1 # Ainsi il démarrera au démarrage de la box
   * KNOCKD_OPTS="-i [votre interface (eth0, eth1 etc.)]"

(si vous ne savez par votre interface, faites un petit ifconfig et regardez…) Arrivé à ce point là, nous sommes déjà bien partis, le demon peut fonctionner, reste maintenant à éditer les règles, pour cela, go to :

   * (# | sudo ) nano /etc/knockd.conf

Et éditez vos rêgles simplement en faisant :

   * [Nom de la rêgle]
   * sequence = XXXXX, XXXX, XXXXX [séquence des ports]
   * seq_timeout = 5 [quant-est-ce que la séquence est "finie"]
   * command = /sbin/iptables (+règles) [commande à exec.]
   * tcpflags = syn

Par défaut, les ports de la séquence sont en TCP, mais on peut s’amuser pour compliquer encore l’affaire à alterner TCP et UDP en faisant : XXX:tcp, XXXXX:udp, XXXX:tcp, XXXXX:tcp… Ainsi, un fichier de configuration bien paramétré, ressemblera à quelque chose (comme cela – lien). (n’oubliez pas de droper les paquets par défaut sur Iptables… car sinon, cela ne sert à rien…) Ensuite, nous devons redémarrer knockd afin qu’il reprenne bien en compte les nouveaux paramètres, pour se faire, une simple commande suffit :

   * (# | sudo ) /etc/init.d/knockd restart

Voilà, l’installation, et la configuration est finie, reste plus qu’à tester avec un client !

5. Utilisation d’un client

Il existe des clients pour tous les systèmes d’exploitation, et cela, c’est cool ! Ainsi, il suffit simplement d’exécuter le binaire client knockd comme ceci afin de réaliser le port-knocking :

   * > knock (ip du serveur) (port):(tcp|udp) (port):(tcp|udp)...

Vous trouverez les binaires et sources des clients sur le site de knockd : http://www.zeroflux.org/projects/knock (il existe même un client pour Iphone!). Bref, libre à vous ensuite de vous amuser avec knockd, sur différentes box et à partir de différents clients.

Tags: attaque, bruteforce, debian, installation, iptables, knockd, linux, logs, netfilter, openssh, port-knocking, protection, ssh
Posted in Sécurité des systèmes d'information, Tips&tricks | 1 Comment »

PageJacking, le retour de l’attaque !

août 21st, 2009

Pagejacking, vous connaissez ? En début de semaine, je m’aperçus d’un problème de référencement sur CCTV-tracking, le site avait pris les métas d’un site pointant vers lui avec une redirection 302. Ainsi, Google le présentait avec l’ancien titre et l’ancienne description du site pointant vers lui en 302 sans toucher au nom de domaine. Cela me paraissait très vite être une superbe vulnérabilité, une sorte d’attaque indirecte touchant à l’image d’un site internet sur Google. Il suffisait juste – d’après ce que j’ai pu constater sur le vif – posséder un site ayant un PR plus élevé que le site que l’on ciblait et réaliser une petite redirection 302 vers ce dernier afin qu’il s’imprègne des métas données que Google avait indexé précédemment. (Bon, dans le même coup, on perd une grande partie du référencement de notre site internet) S’en suivi quelques tests et vérifications jusqu’à ce soir où je me suis mis dans la tête de trouver d’où pouvait bien venir ce problème de « spoofing de résultat » comme je l’appelais. Et c’est à mon grand étonnement qu’à la suite d’un petit débat avec un ami (Alexis) et de quelques recherches, j’ai trouvé un site qui parlait de ce même problème (et d’autres), et ce dernier n’était pas nouveau, il datait même de quelques années. Aujourd’hui, je qualifie cette « faille » d’ovni du SEO, tout d’abord du fait que Google étant une blackbox, nous ne savons pas réellement d’où cela peut provenir et surtout il serait assez dur de reproduire l’attaque en environnement stérile (avec deux sites réalisés dans ce seul but). De plus, son analyse prendrait beaucoup de temps (indexation des sites, tests etc.). Cet article était avant tout à but informat{if||ique} car je n’ai pas l’impression que l’on ait véritablement parlé de cette vulnérabilité sur le web français… et Google à encore du mal à la colmatée on dirait, même après de longues années :D

Tags: Google, hack, page, référencement, results, spoofing
Posted in Sécurité des systèmes d'information | No Comments »

Make ur home secure web server !

août 21st, 2009

Un ami veut se faire un petit serveur privé chez lui et je lui ai passé quelques astuces afin d’avoir le moins possible à payer en terme d’équipement ou même de consommation d’énergie. De plus quelques astuces en sécurité histoire d’avoir un serveur personnel pas très cher, mais robuste. Je me souviens d’ailleurs de mon premier serveur maison, il y a de ça quelques années j’en avais réalisé un dans une boite en carton d’écran LCD, ce qui au niveau chaleur n’était pas trop trop conseillé.

Bref, donc tout d’abord, quel matériel choisir ?

Là, question coût, nous n’allons pas acheter quelque chose de très puissant, car il sera principalement réalisé afin de permettre le téléchargement de fichiers (après vous voyez pour la légalité), la mise en place d’un serveur web voire mail si vous le souhaitez. Donc pour faire « bien » à pas cher, vous avez deux choix :

1. Le choix Système-D : Allez acheter sur un site ex : leboncoin.fr un netbook avec un écran cassé, on en trouve de très bons à pas cher 50 à 80 euros avec 1go de Ram, 900hz, entre 4 et 16go de disque dur etc. Ceci est bien car les personnes vendant ce matériel ne savent pas que ce qui compte dans une grande partie des cas, ce n’est pas l’écran, mais bien l’intérieur de la bête.

2. Le choix résonné : Si vous avez un peu d’argent devant vous (environ 200 euros) vous pouvez vous prendre un petit soekris histoire d’être sûr d’avoir du bon matos. Il n’est pas bruyant et consomme rien. Cependant ceux qui sont allergiques aux lignes de commande vont vivre quelques heures de configuration fastidieuses. Ce choix est résonné par rapport à la consommation d’énergie si votre bébé va tourner 7j/7.

Maintenant que vous avez le matériel, où l’installer ? Là vous avez plusieurs possibilités et tout dépend là aussi de la chaleur qu’il dégage. J’ai fait des tests dans plusieurs endroits aussi atypiques les uns que les autres et ce qui en ressort c’est qu’un petit serveur comme vous allez faire n’a pas besoin d’une chambre froide afin de fonctionner non-stop. Cependant, j’ai testé la méthode dans le frigo et cela s’avère un assez bonne alternative :) (si vous n’avez pas de légumes/fruits/etc dedans).

Et le web fut !

Pour ce qui est de la connectivité, oubliez le WIFI et préférez le filaire cela permettra d’avoir moins de problèmes de paramétrage au cas où le serveur redémarre ou si le wifi merdoy. Une chose est sûre, les câbles, malgré ce que l’on en dit, ont encore de beaux jours devant eux ! Le raccordement à la box fait, sécurisez cette dernière, mettez un mot de passe d’accès si cela n’est pas déjà fait. Activez l’IP forwarding vers l’adresse IP statique de votre serveur en question à partir de la console d’administration. Pourquoi mettre un mot de passe ? Tout simplement pour éviter les attaques CSRF, mais aussi (et surtout) éviter que l’on ait accès à son administration si votre serveur est éteint.

Ceci fait, tous les flux entrants par le(s) port(s) que vous avez désignés vont être aiguillés vers votre serveur (Cool, non ? Non ? Bon d’accord…) Maintenant vous n’avez plus qu’à installer votre petite solution LAMP sur votre serveur et les différents services que vous voulez. N’oubliez pas d’activer les virtual hosts sur Apache si vous avez fait pointer des noms de domaines sur votre BOX.

La sécurité avant tout !

Passons maintenant à la sécurité du serveur, car il faut bien le dire, un serveur non implanté dans une DMZ présente un vrai risque pour la sécurité du réseau et la confidentialité des informations transférées sur ce dernier. Donc il faut absolument le sécuriser de toutes parts. Tout d’abord, contre le fingerprinting actif et passif. Il faut pour cela changer le TTL de Linux pour faire croire aux différents scanners que c’est Windows qui est sur la machine (on on change le TTL de 64 en 128) (les scanners ne se basent pas que sur le ttl pour déduire les version des Os, mais c’est une méthode, et autant la brouiller), on change aussi les différents bandeaux des différentes applications telles que SSH, Apache et autres trucs comme cela. Moins l’attaquant en sait sur le système visé depuis l’extérieur mieux c’est pour vos fesses ! (d’ailleurs documentez-vous sur ce petit soft bien sympa : IP personnality, même s’il est pour les 2.4, la doc est assez sympa histoire de voir comment cela fonctionne…). Il y a aussi ce petit lien avec quelques logiciels du même type.

Ceci fait, il nous faut changer quelques configurations par défaut, tout d’abord, SSH. On enlève la possibilité de login en Root à distance sur le système, on change le port par défaut du service histoire de ne pas être attaqué par des Boots où des SK. Ensuite on va configurer un petit utilitaire afin de détecter la moindre tentative manquée de connexion à différents services, cet utilitaire est connu et bien sympa. Surtout si on le couple à un service d’envoi d’SMS pour avec un temps de réponse post-attaque rapide. Son nom : fail2ban. Et oui, on ne change pas une équipe qui gagne ! Bon pour la documentation direction ICI où tout y est très bien expliqué. Amusez-vous avec IP tables afin de dropper les paquets qui sont méchant, pour cela, il existe des tonnes de ressources sur Internet donc je vous fait confiance.

Vous pouvez aussi envisager une solution de port knocking afin de gérer les ports dynamiquement, cette solution permet beaucoup de choses, et surtout réduit considérablement les logs de tentatives d’attaques :)

Il faut aussi créer un utilisateur dans un espace confiné, afin d’emprisonner le pirate dès l’obtention d’un shell d’attaque sur un processus utilisé par cet utilisateur. La technique s’appelle le chroot et est difficile à mettre en place si on ne l’a pas fait trente six mille fois sur différents logiciels (moi aussi j’ai encore du mal à chrooter). Au programme, récupération des librairies utiles au logiciel, création de l’espace restreint dans un répertoire à la racine et emprisonnement des processus. Vous pouvez le faire, ou pas. Si vous ne voulez pas passer par cette tâche longue et fastidieuse, vous pouvez désactiver pour les utilisateurs autres que le root les programmes utiles au pirate en tant d’attaque tels que wget, gcc, python, cURL, vim, nano, pico etc. afin qu’il ait beaucoup de mal à devenir root sur votre machine (chmod 700). On peut aussi, afin qu’il ne s’amuse pas à essayer d’entrevoir la topologie de notre réseau chmoder les ifconfig, ping etc. Vous pouvez aussi vous amuser avec le petit tool de la NSA dénommé SElinux perrmettant de mettre des droits pour des processus à des fichiers pécis, et cela, un Linux standard ne le fait pas ! :D Cela devient très vite utile en cas d’attaque. Voir plus d’infos ici ou sur Google ;)

Enfin, pour la configuration du serveur (apache, php etc.) désactivez tout ce qui peut permettre l’identification là aussi des versions utilisés, donc direction tout d’abord httpd.conf et désactivez les signatures du serveur. Vérifiez que la valeur expose_php dans le php.ini est à off, si elle ne l’est pas, mettez-là ! En ce qui concerne aussi le php.ini, mettez le safe_mod sur on, les magic_quotes aussi, modifier l’open base dir et mettez allow_url_fopen sur Off. Désactivez de plus certaines fonctions qui sont pas très très sympa… Ne laissez jamais MySQL s’exécuter avec l’utilisateur root de ce dernier, créez des utilisateurs avec des droits restreint afin de ne pas aller vers la catastrophe. Par ailleurs, mettez en place un petit IDS codé en PHP sur votre site dynamique afin de voir s’il est la cible d’attaques… (voir PHPIDS, même si à ma grande surprise, il ne contre pas certaines attaques que mon IDS php à moi détecte… :D)

Et maintenant ?

Et bien, si vous avez tout fait et que vous arrivez encore à lire ces lignes, je dois dire bravo ! Il ne vous reste plus qu’à veiller sur les mises à jour de votre système, de créer un Cron qui exportera vos logs (mysql/apache/acces/ssh) toutes les semaines vers une adresse mail mise en place pour l’occasion afin d’entrevoir des tentatives d’attaque qui seraient passées entre les mailles du filet. On peut aussi s’amuser à envoyer des mails ou des SMS, mais ceci est une autre histoire. Veillez à faire un rkhunter avec Cron quelques fois afin de voir s’il n’y a pas de rootkits sur le système et… voilà !

Désolé si cet article manque de références ou n’est pas complet, j’ai écrit cela – un peu – à l’arrache aujourd’hui et je ne vais pas aller chercher des références si j’en n’ai pas pris pour le réaliser. La prochaine fois, j’essayerai de faire quelque chose de plus « pro ».

Tags: administration, apache, box, debian, home, installation, linux, mysql, personnel, protection, sécurité, security, server, serveur
Posted in Sécurité des systèmes d'information, Tips&tricks | No Comments »

Semaine blanche

août 21st, 2009

Ayé, j’en suis sorti vivant. Avec quelques lacunes, certes, mais vivant ! De quoi ? Bah de Elab Tv bien sûr ! Elab TV est un rendez-vous beaucoup attendu par les SRCien-ne-s de Bordeaux. Cet évènement d’une semaine permet aux étudiants organisés par groupes de huit élèves de réaliser une émission vidéo de A à Z ce qui comprend donc : Le choix du thème, l’élaboration d’un scénario, d’un story board, la prise de contact avec les personnes intervenantes, l’organisation en général, le tournage, le dérushage, le montage, les « effets », la finalisation/exportation et de grosses doses de café. Le tout bien évidemment en quatre jours et quelques nuits pour compliquer la chose.

Me concernant, j’étais dans le groupe d’organisation de l’évènement et nous devions dans ce groupe réaliser deux choses principales. Tout d’abord, organiser l’évènement mais aussi faire un générique à l’émission. L’organisation s’est bien passée même si le matériel manquait à la suite de groupe qui ayant les yeux plus gros que le ventre prenaient deux caméras alors qu’une aurait largement suffit.

Par contre, niveau générique, je pense que nous, tout comme certains groupes, nous avons eu les yeux plus gros que le ventre. Notre idée était de réaliser un effet de magazine incrustant des vidéo avec des testes en 3D dans after effects donc il nous fallait faire toute la mise en page dans photoshop/illustrator puis ensuite l’importer dans after. Bref, outre le temps pris pour la mise en page des maquettes, seule une personne dans le groupe avait des notions d’after effects ce qui fut la plus grande contrainte de réalisation de ce générique (sans parler des problèmes matériels, ayant des ordinateurs non conçus pour exporter en deux deux des vidéos d’after effects).

Bref, beaucoup d’erreurs ont été faites dans mon groupe et dans l’ensemble de cet Elab TV qu’il faudra que je retienne. Mais outre le but de l’évènement, je retiens quelques souvenirs tout de même, certains fous rires, ou même les longues heures devant un écran afin de réaliser des maquettes ou de comprendre le fonctionnement d’after effects. Sans parler du rapprochement franco-chinois pendant cet Elab TV. Une chose est sur, n’ayant que quelques bases actuellement en vidéo (première), il faut vraiment que je me mette à voir plus loin qu’un simple montage lambda .

Quelques idées en vrac pour le prochain Elab TV :

- Réaliser l’évènement avant décembre pour rapprocher les élèves ? (Après, il faut voir au point de vue de la formation audiovisuelle de ces derniers).
- Faire des impressions d’autorisation de droit à l’image avant l’évènement.
- Pourquoi ne pas faire une présentation en live façon « météo » dans une pièce à côté du plateau qui sera enregistrée et projetée directement au plateau télévision ?
- Ne pas injecter du matériel dans le processus sans qu’il ne soit notifié par les responsables de l’organisation.
- Prévoir les interviews de policiers, gendarmes etc. avec une autorisation de leur hiérarchie faite avant Elab TV.

Posted in SRC Bordeaux | No Comments »