Avast SecureLine VPN est développé par Avast Software, une entreprise de cybersécurité fondée en 1988 à Prague, en République tchèque. En 2022, Avast a fusionné avec NortonLifeLock pour former Gen Digital (NASDAQ : GEN), un conglomérat qui possède également Norton, AVG, Avira et LifeLock. Bien qu'Avast ait initialement opéré sous juridiction tchèque — en dehors des alliances de surveillance des Cinq, Neuf et Quatorze Yeux — son intégration au sein de Gen Digital, dont le siège est aux États-Unis, soulève des questions quant aux implications pratiques pour la gouvernance des données. Le produit VPN lui-même reste enregistré sous juridiction tchèque.
La question la plus critique que les utilisateurs potentiels doivent peser est l'historique documenté d'Avast en matière de vente de données utilisateurs. De 2014 à 2020, Avast a collecté des données de navigation détaillées auprès des utilisateurs de ses produits antivirus et extensions de navigateur, puis les a vendues via sa filiale Jumpshot à plus de 100 entreprises tierces, dont des sociétés publicitaires, des courtiers en données et des entreprises d'analyse marketing. Ces données comprenaient chaque site web visité, des horodatages précis, les types d'appareils et de navigateurs, ainsi que la localisation géographique — liées à des identifiants uniques d'appareils pouvant potentiellement désanonymiser les utilisateurs. La FTC a conclu que les affirmations d'anonymisation d'Avast étaient insuffisantes et que les consommateurs n'avaient jamais été correctement informés ni n'avaient donné un consentement éclairé. En février 2024, la FTC a ordonné à Avast de payer 16,5 millions de dollars et a définitivement interdit à l'entreprise de vendre ou de concéder sous licence des données de navigation web à des fins publicitaires. Cette décision a été finalisée en juin 2024. Jumpshot a été fermée début 2020, après que des journalistes de Motherboard et de PCMag ont exposé ces pratiques pour la première fois.
Sur le plan technique, Avast SecureLine exploite environ 700 serveurs dans 36 pays et 58 emplacements. Les États-Unis bénéficient de la meilleure couverture avec 16 options au niveau des villes, tandis que la plupart des autres pays ne disposent que d'un seul emplacement de serveur. Ce réseau est nettement plus petit que celui des principaux concurrents. Le VPN partage son infrastructure avec AVG Secure VPN, ce qui signifie que la congestion sur l'un des services peut affecter l'autre. Les protocoles pris en charge comprennent OpenVPN (TCP/UDP), WireGuard et le protocole propriétaire Mimic d'Avast, qui offre une obfuscation permettant de contourner la détection des VPN. Cependant, la disponibilité des protocoles est inégale selon les plateformes : WireGuard n'est disponible que sur Windows et Android, et les appareils Apple ne prennent en charge ni OpenVPN ni WireGuard.
Les performances en termes de vitesse sont mitigées. Sur des serveurs proches utilisant WireGuard, les utilisateurs peuvent s'attendre à des vitesses raisonnables avec une réduction d'environ 20 à 33 % par rapport à la vitesse de base. Les connexions à des serveurs distants présentent des pertes similaires, voire légèrement supérieures. Les performances d'OpenVPN sont nettement moins bonnes, avec des réductions de vitesse de 50 à 90 % relevées lors des tests. Le protocole Mimic se situe entre les deux. Ces résultats placent Avast SecureLine dans la moyenne — suffisant pour la navigation générale et le streaming en définition standard, mais potentiellement insuffisant pour les tâches nécessitant une grande bande passante.
Les fonctionnalités de sécurité comprennent le chiffrement AES-256 avec échange de clés RSA-4096, un coupe-circuit (disponible sur ordinateur de bureau mais pas de manière cohérente sur mobile) et une protection contre les fuites DNS. Aucune fuite DNS ou WebRTC n'a été détectée lors des tests indépendants. Cependant, le VPN est dépourvu de plusieurs fonctionnalités présentes chez les concurrents haut de gamme : absence de split tunneling sur ordinateur de bureau, absence de Double VPN ou de capacité multi-hop, absence d'infrastructure de serveurs RAM uniquement, et aucune prise en charge de Linux, des routeurs, des téléviseurs connectés ou des consoles de jeux. L'application est limitée à Windows, macOS, iOS et Android.
La politique de confidentialité d'Avast SecureLine indique qu'il ne journalise pas l'activité de navigation, les sites web visités ni le contenu consulté. Cependant, il conserve des journaux de connexion pendant une durée pouvant aller jusqu'à 30 jours, incluant les horodatages de connexion, les adresses IP au niveau du sous-réseau, les adresses IP des serveurs VPN et les volumes de transfert de données. Les applications mobiles intègrent des traceurs tiers provenant de Google Firebase Analytics, Google Crashlytics et AppsFlyer. Fait crucial, aucun audit indépendant de la politique de journalisation ou de l'infrastructure n'a jamais été réalisé — une lacune significative compte tenu du bilan de l'entreprise en matière de données utilisateurs.
En ce qui concerne le streaming, les résultats sont incohérents. Les tests ont montré que le VPN peut débloquer Disney Plus, Amazon Prime Video et BBC iPlayer, mais qu'il échoue fréquemment avec Netflix, Hulu et Paramount Plus. Le téléchargement en torrent est pris en charge sur huit serveurs P2P dédiés situés dans des villes comme Prague, Amsterdam, Francfort, New York, Miami, Seattle, Londres et Paris. La tarification est compétitive à 3,99 $/mois sur les abonnements de deux et trois ans, avec un essai gratuit de 60 jours ne nécessitant aucune carte de crédit.
La tension fondamentale avec Avast SecureLine réside dans le fait qu'un VPN est un outil de protection de la vie privée, et qu'Avast dispose d'un historique avéré et sanctionné par la FTC de violation de la vie privée des utilisateurs à grande échelle. Bien que l'opération Jumpshot ait été fermée et que l'entreprise opère désormais sous une ordonnance de consentement de la FTC, l'absence d'audits indépendants signifie que les utilisateurs doivent accepter les affirmations actuelles d'Avast en matière de confidentialité sur la foi — une démarche difficile compte tenu de cet historique.