Chrome affiche un avertissement « téléchargement suspect » lors du téléchargement de yt-dlp

 (news.ycombinator.com)
1 points par GN⁺ 2026-04-03 | 2 commentaires | Partager sur WhatsApp
  • Des cas ont été signalés où le navigateur Chrome bloque le téléchargement du fichier exécutable de yt-dlp ou affiche un message d’avertissement
  • Le message d’avertissement apparaît sous la forme « suspicious download » et l’utilisateur doit ignorer l’alerte et l’autoriser manuellement pour récupérer le fichier
  • yt-dlp est un outil open source largement utilisé qui permet de télécharger des vidéos depuis YouTube et diverses autres plateformes
  • L’avertissement se produit lorsque le système de détection de sécurité de Chrome classe le fichier exécutable comme un risque potentiel
  • Certains utilisateurs estiment qu’il s’agit du résultat d’une application trop stricte de la politique de sécurité de Chrome, et que ce filtrage de sécurité automatique pourrait affecter la distribution et l’accessibilité d’outils open source légitimes

À lire aussi

2 commentaires

 
ndrgrd 2026-04-04

Je pense que ce type d’avertissement devrait être remplacé par un système de signature de code.
Comme lorsqu’on entend une affirmation, il faut en vérifier les fondements et la source, les utilisateurs doivent par défaut se méfier de toutes les applications. S’ils subissent un préjudice parce qu’ils ne le font pas, c’est de leur responsabilité.
 
GN⁺ 2026-04-03
Réactions sur Hacker News

  • Les heuristiques qui font tourner cette fonctionnalité et la politique de liste blanche de Windows Defender sont médiocres
    Le système est conçu de sorte qu’un binaire doit atteindre un certain niveau de popularité avant que l’avertissement disparaisse, ce qui crée un problème classique de l’œuf ou la poule : si les utilisateurs n’ignorent pas l’alerte, elle ne disparaîtra jamais
    Ce genre de mécanisme pénalise particulièrement les développeurs indés et les petits projets open source

    • Pour moi, c’est juste de la fausse sécurité (bullshit security)
      Au final, c’est un dispositif destiné à enfermer les développeurs dans l’infrastructure du fournisseur de l’OS. Apple fait exactement la même chose
    • Mon site web a aussi déjà été bloqué par un pare-feu d’entreprise
      Dans ce genre de cas, il faut créer des profils auprès des entreprises de cybersécurité et attendre qu’elles vous ajoutent à leur liste blanche
    • Je rencontre aussi un phénomène similaire sous Linux
    • Vu le récent piratage d’axios sur npm, ce genre de politique peut aussi sembler être une mesure raisonnable
    • Microsoft pousse à acheter un certificat de signature pour régler le problème
      Il y a une discussion à ce sujet sur Stack Overflow

  • Firefox affiche aussi un avertissement du type « ce fichier n’est pas couramment téléchargé » quand on télécharge le dernier .exe depuis GitHub
    L’analyse antivirus est entièrement normale, donc cela ressemble simplement à un faux positif heuristique
    Ce n’est pas vraiment de quoi en faire une actualité sur un supposé abus de position dominante de Chrome

    • Je me demande si ces fenêtres d’avertissement sont réellement efficaces
      Elles apparaissent tellement souvent que je finis désormais par ne plus lire aucun avertissement
      Surtout quand on utilise un certificat auto-signé, l’UX des navigateurs qui bloquent l’accès est catastrophique. On a l’impression d’être traité comme quelqu’un qui fait quelque chose de dangereux
    • Firefox n’utilise pas la base de données Safe Browsing de Google ?
    • Le même avertissement s’affiche aussi dans Chrome quand on télécharge un fichier .tar.gz — notamment pour yt-dlp. Il ne s’affiche pas pour les autres .tar.gz

  • Le binaire de yt-dlp est construit avec PyInstaller, ce qui peut provoquer des faux positifs dans les antivirus

    • Google avait déjà montré une attitude hostile envers yt-dlp avant même le fork
      Ils essaient aussi d’exclure ce type d’outil de l’extension store et des politiques Android, même si l’application des règles est parfois plus souple
      Google craint que les utilisateurs puissent contrôler directement leur propre contenu vidéo
    • Mais je ne vois pas pourquoi un navigateur devrait se soucier de ce genre de chose

  • Quand on voit que chercher « Google » sur Bing peut mener à une page qui imite Google.com, on se dit qu’on ne peut pas faire confiance aux grandes entreprises
    Cette fois-ci, c’est peut-être juste une coïncidence, mais je n’en suis pas certain

    • Google avait déjà signalé l’extension Ad Nauseam comme étant un malware. Là, c’était clairement un abus de pouvoir
      Cette fois, c’est encore flou
    • Ça me fait penser à l’expression : « ne jamais gâcher une bonne crise »

  • J’ai moi aussi reproduit le même comportement sur la page de téléchargement de yt-dlp
    Le message affiché est : « téléchargement dangereux bloqué — yt-dlp_win_x86.zip n’est pas couramment téléchargé et peut être dangereux »

    • Mais on peut se demander à quel point cette explication est utile
      Tous les nouveaux logiciels — y compris Chrome lui-même — commencent forcément par ne pas être « couramment téléchargés »

  • C’est pour ça que j’installe yt-dlp via le gestionnaire de paquets de ma distribution Linux. C’est aussi possible dans Termux

    • Mais yt-dlp doit être mis à jour souvent, donc les versions des distributions arrivent beaucoup trop lentement
      J’ai créé un wrapper Telegram/MQTT/HomeAssistant pour que ma mère puisse écouter des livres audio sur un serveur Jellyfin
      La version de yt-dlp casse souvent, donc j’ai mis en place un script de mise à jour automatique d’environnement virtuel pour toujours utiliser le HEAD le plus récent
      Le code de mon wrapper

  • C’est assez drôle de voir une entreprise aussi énorme ne même pas pouvoir laisser tranquille un si petit outil
    Google donne désormais l’impression d’être l’empire du mal. GCP est cher, et les statistiques du Play Store Android ne sont actualisées qu’une fois par jour
    C’est décevant pour une entreprise qui se présente comme une société de la donnée

    • Mais yt-dlp n’est pas juste un outil de téléchargement, c’est aussi un outil fondamental qui sert à en construire d’autres
      Des journalistes comme des administrations l’utilisent pour la recherche ou la collecte de preuves
      Si Google avait vraiment voulu le supprimer, ils l’auraient déjà bloqué bien plus agressivement. Il ne semble pas y avoir une volonté de l’éliminer complètement

  • Il y a quelque chose d’ironique à voir le navigateur de Google qualifier de « suspect » un outil qui récupère des fichiers depuis les serveurs de Google

    • En suivant la même logique, Chrome est lui aussi un « outil qui récupère des fichiers depuis les serveurs de Google »
      Ce comportement n’a rien de surprenant, mais ce n’est pas une raison pour ne pas critiquer une désinformation contraire à l’éthique et un abus de position dominante
      Citer les avocats de la RIAA comme modèles éthiques ne fait au contraire que renforcer mon point de vue

  • J’ai testé sur la page de la dernière release de yt-dlp : l’avertissement n’apparaît que pour l’exécutable Windows, tandis que les versions macOS et Linux passent normalement
    Cela ressemble davantage à une erreur d’un système automatisé qu’à une intention anticoncurrentielle

  • L’absence de régulation antitrust permet ce type de conflit d’intérêts

    • Mais Firefox affiche lui aussi des avertissements similaires