Quand une faille zero-day touche Chrome, la question n’est pas seulement “la mise à jour existe-t-elle ?”. La vraie question est : quels postes l’ont réellement installée et relancée ? Dans beaucoup d’organisations, Chrome se met à jour automatiquement, mais avec des délais, des blocages réseau, des machines jamais redémarrées et des utilisateurs qui gardent 40 onglets ouverts pendant trois semaines.

Ce tutoriel propose une méthode simple pour vérifier les versions Chrome sur Windows, macOS et Linux, identifier les machines en retard et garder une trace exploitable. Les exemples sont volontairement sobres : ils fonctionnent dans une petite équipe, une agence web, un parc associatif ou une PME sans outil MDM complet.

Définir la version minimale attendue

Avant de lancer des scripts, fixez une cible claire. Après l’alerte CVE-2026-11645 de juin 2026, les versions Chrome Stable corrigées sont 149.0.7827.102 pour Windows et Linux, et 149.0.7827.103 pour macOS. Dans un autre incident, remplacez simplement ces valeurs par celles du bulletin officiel.

Un bon suivi contient quatre colonnes minimum : machine, système, version détectée, statut. Ajoutez ensuite la date de contrôle et le propriétaire du poste. Ce n’est pas glamour, mais c’est ce qui permet de prouver qu’une alerte a été traitée.

Vérifier Chrome sur Windows avec PowerShell

Sur Windows, Chrome est généralement installé dans Program Files, parfois dans Program Files (x86). Le script suivant teste les deux emplacements et retourne un objet lisible.

$paths = @(
  "C:Program FilesGoogleChromeApplicationchrome.exe",
  "C:Program Files (x86)GoogleChromeApplicationchrome.exe"
)

$chrome = $paths | Where-Object { Test-Path $_ } | Select-Object -First 1

if ($chrome) {
  $version = (Get-Item $chrome).VersionInfo.ProductVersion
  [PSCustomObject]@{
    ComputerName = $env:COMPUTERNAME
    OS           = "Windows"
    ChromePath   = $chrome
    Version      = $version
  }
} else {
  [PSCustomObject]@{
    ComputerName = $env:COMPUTERNAME
    OS           = "Windows"
    ChromePath   = "not found"
    Version      = "not installed"
  }
}

Pour comparer automatiquement avec une version minimale, utilisez la classe [version]. Elle évite les comparaisons textuelles qui donnent de mauvais résultats.

$minimum = [version]"149.0.7827.102"
$current = [version]$version
$status = if ($current -ge $minimum) { "OK" } else { "PATCH_REQUIRED" }
Write-Output "$env:COMPUTERNAME;$version;$status"

Vérifier Chrome sur macOS

Sur macOS, Chrome expose sa version via le binaire de l’application. La commande ci-dessous est simple et fiable sur un poste local.

/Applications/Google Chrome.app/Contents/MacOS/Google Chrome --version

Pour produire une ligne CSV exploitable :

HOST=$(hostname)
VERSION=$(/Applications/Google Chrome.app/Contents/MacOS/Google Chrome --version 2>/dev/null | awk '{print $3}')
MINIMUM="149.0.7827.103"

if [ -z "$VERSION" ]; then
  STATUS="NOT_INSTALLED"
elif [ "$(printf '%s
%s
' "$MINIMUM" "$VERSION" | sort -V | head -n1)" = "$MINIMUM" ]; then
  STATUS="OK"
else
  STATUS="PATCH_REQUIRED"
fi

printf '%s;macOS;%s;%s
' "$HOST" "${VERSION:-not installed}" "$STATUS"

La comparaison avec sort -V fonctionne bien pour les numéros de versions classiques. Si votre parc macOS est géré par Jamf, Kandji ou Mosyle, adaptez simplement cette logique dans votre outil de collecte.

Vérifier Chrome ou Chromium sur Linux

Sur Linux, le nom du binaire varie selon la distribution et le paquet installé. Voici une version courte qui teste Chrome puis Chromium.

#!/usr/bin/env bash
set -euo pipefail

HOST=$(hostname)
MINIMUM="149.0.7827.102"

if command -v google-chrome >/dev/null 2>&1; then
  RAW=$(google-chrome --version)
elif command -v chromium >/dev/null 2>&1; then
  RAW=$(chromium --version)
else
  printf '%s;Linux;not installed;NOT_INSTALLED
' "$HOST"
  exit 0
fi

VERSION=$(echo "$RAW" | grep -oE '[0-9]+(.[0-9]+){3}' | head -n1)

if [ "$(printf '%s
%s
' "$MINIMUM" "$VERSION" | sort -V | head -n1)" = "$MINIMUM" ]; then
  STATUS="OK"
else
  STATUS="PATCH_REQUIRED"
fi

printf '%s;Linux;%s;%s
' "$HOST" "$VERSION" "$STATUS"

Collecter les résultats sans outil MDM

Dans une très petite structure, vous pouvez centraliser les résultats sans déployer une plateforme complète. Le plus simple est de demander aux scripts de produire une ligne CSV, puis de déposer le fichier dans un partage interne ou de le joindre au ticket de maintenance. Si vous avez SSH sur les postes Linux ou macOS, une boucle d’administration peut interroger chaque machine et concaténer les lignes dans un rapport unique.

# Exemple simple depuis une machine d'administration
while read -r host; do
  ssh "$host" 'google-chrome --version 2>/dev/null || chromium --version 2>/dev/null'     | sed "s/^/$host;/"
done < postes-linux.txt > rapport-chrome-linux.csv

Sur Windows, PowerShell Remoting offre la même logique si votre domaine l’autorise. L’important est de ne pas confondre collecte et correction : collectez d’abord l’état réel, corrigez ensuite les postes non conformes, puis relancez exactement le même contrôle. Cette deuxième passe est celle qui transforme une intention de patch en preuve vérifiable.

Forcer ou accélérer la mise à jour

La vérification ne suffit pas. Si un poste est en retard, appliquez le correctif par le canal normal du système. Sur Linux, cela passe souvent par le gestionnaire de paquets :

# Debian / Ubuntu
sudo apt update
sudo apt install --only-upgrade google-chrome-stable chromium-browser

# Fedora
sudo dnf upgrade google-chrome-stable chromium

# Arch Linux
sudo pacman -Syu chromium

Sur Windows, privilégiez votre outil de gestion habituel : Intune, GPO, winget, Chocolatey, PDQ Deploy ou script interne. Avec winget, le principe ressemble à ceci :

winget upgrade Google.Chrome
winget upgrade --id Google.Chrome --silent

Sur macOS, utilisez le mécanisme Google Software Update ou votre MDM. Si vous utilisez Homebrew Cask dans un petit parc technique :

brew update
brew upgrade --cask google-chrome

Ne pas oublier le redémarrage du navigateur

Le piège classique est là : Chrome peut avoir téléchargé le patch sans l’appliquer complètement. Tant que le navigateur n’est pas relancé, le processus en mémoire peut rester vulnérable. Pour les postes critiques, demandez un redémarrage complet du navigateur, puis refaites la vérification.

Dans une communication interne, soyez précis : “Fermez toutes les fenêtres Chrome, rouvrez Chrome, puis vérifiez Aide > À propos de Google Chrome.” Évitez les messages vagues du type “mettez à jour votre navigateur”, car une partie des utilisateurs pensera que l’automatique suffit.

Prioriser les postes à risque

Si vous ne pouvez pas tout corriger immédiatement, commencez par les profils qui ont le plus d’accès : administrateurs, direction, comptabilité, RH, développeurs, support client, personnes connectées à des consoles cloud, CRM ou back-offices WordPress. Une faille navigateur devient grave quand elle permet de voler une session déjà authentifiée.

Profitez aussi de l’incident pour nettoyer les extensions Chrome. Les extensions avec accès à tous les sites doivent être justifiées. Dans une petite structure, une liste autorisée de cinq à dix extensions vaut mieux qu’un marché libre d’extensions inconnues.

Modèle de rapport simple

Voici un format CSV minimal à conserver dans le ticket d’incident ou le dossier de maintenance :

machine;os;chrome_version;status;checked_at
poste-01;Windows;149.0.7827.102;OK;2026-06-10
macbook-julie;macOS;149.0.7827.103;OK;2026-06-10
linux-dev-02;Linux;149.0.7827.80;PATCH_REQUIRED;2026-06-10

Ce fichier n’a pas besoin de contenir de données sensibles. Ne mettez pas de noms de session, de tokens, d’adresses privées ou d’informations client inutiles. L’objectif est de prouver la conformité, pas de créer un nouveau document à protéger comme un coffre-fort.

Conclusion

La réponse à un zero-day Chrome doit être rapide, mais elle ne doit pas être improvisée. Une version minimale, trois scripts de vérification, une liste de postes prioritaires et une trace CSV suffisent déjà à passer d’une réaction anxieuse à une maintenance maîtrisée.

Le navigateur mérite le même sérieux que les serveurs. Dans une organisation web, il donne accès aux outils de production, aux comptes clients et aux interfaces d’administration. Le patcher vite, vérifier réellement et garder une preuve font partie du socle cybersécurité moderne.

Sources et références

W
WP Admin Lab

Architecte web full-stack. WordPress, performance, data et sécurité. Notes de terrain, tests reproductibles et retours d'expérience.