Hotspot Shield a été lancé en 2008 sous AnchorFree, Inc., ce qui en fait l'un des services VPN grand public ayant la plus longue existence. La société a été renommée Pango en 2019, puis acquise par Aura en 2020, un conglomérat de sécurité numérique soutenu par WndrCo et General Catalyst. Dont le siège est établi à Redwood City, en Californie, Hotspot Shield opère sous juridiction américaine, le plaçant au sein de l'alliance de partage de renseignements des Five Eyes. Le service a acquis une reconnaissance précoce pour son rôle lors des manifestations du Printemps arabe, où des militants en Égypte, en Tunisie et en Libye l'ont utilisé pour contourner la censure gouvernementale.
La caractéristique technique distinctive de Hotspot Shield est son protocole propriétaire Catapult Hydra. Reposant sur une base TLS 1.2 avec échange de clés ECDHE, Catapult Hydra est conçu pour optimiser le transport des données à l'intérieur du tunnel chiffré, produisant des vitesses qui se classent régulièrement parmi les plus rapides lors des tests indépendants. VPNMentor a enregistré des vitesses de téléchargement dépassant 200 Mbps sur des serveurs américains, et ProPrivacy a relevé des vitesses comprises entre 40 et 50 Mbps environ à partir de points de test européens, les décrivant comme presque impossibles à distinguer de connexions non chiffrées. Cependant, Catapult Hydra est à code source fermé. AnchorFree détient plus de 30 brevets liés aux VPN sur cette technologie. La société affirme que le protocole a fait l'objet d'audits de sécurité par des tiers et que son SDK est utilisé par plus de 60 % des grandes entreprises de sécurité, mais les rapports d'audit complets n'ont pas été publiés publiquement, et des évaluateurs indépendants comme ProPrivacy ont noté qu'ils n'avaient pas vu de preuve de ces audits. Pour les utilisateurs qui préfèrent les standards ouverts, Hotspot Shield propose également WireGuard et IKEv2, bien que OpenVPN soit notamment absent de la gamme.
Le réseau de serveurs comprend plus de 1 800 serveurs répartis dans plus de 80 pays, avec une sélection au niveau de la ville disponible aux États-Unis, au Royaume-Uni, au Canada, en Australie et dans plusieurs pays européens. TechRadar a noté que le réseau a réussi à débloquer Netflix US, BBC iPlayer, Amazon Prime Video et Disney+, bien que certains services régionaux comme Hulu aient été détectés. Des serveurs dédiés et optimisés pour le streaming sont disponibles pour les localisations américaines et britanniques. Le torrenting est autorisé sur l'ensemble du réseau, avec un chiffrement AES 256 bits, un kill switch et une protection contre les fuites DNS actifs lors des sessions P2P.
La situation en matière de confidentialité est plus complexe. Hotspot Shield déclare ne pas conserver de journaux permanents des adresses IP des utilisateurs, affirmant qu'elles ne sont stockées que pendant la durée d'une session VPN, puis supprimées. Cependant, le service collecte des horodatages de durée de session, des identifiants d'appareils anonymisés, des volumes de données utilisées et des données de localisation approximative. Le niveau gratuit est nettement plus intrusif, avec des informations anonymisées sur les serveurs et les appareils partagées avec des partenaires publicitaires. En 2016, une étude du CSIRO a révélé que la version gratuite suivait le comportement des utilisateurs à des fins de ciblage publicitaire et qu'AnchorFree injectait du code JavaScript via des iframes à des fins publicitaires. En 2017, le Center for Democracy and Technology a déposé une plainte formelle auprès de la Federal Trade Commission alléguant que Hotspot Shield s'était livré à un partage de données non divulgué, à une redirection du trafic vers des sites de commerce électronique partenaires et à des pratiques commerciales trompeuses. AnchorFree a nié ces allégations. En 2018, un chercheur en sécurité a découvert une vulnérabilité exposant les noms des réseaux Wi-Fi des utilisateurs ainsi que leurs données de localisation.
Depuis l'acquisition par Aura, la société a remanié sa politique de confidentialité et amélioré la transparence concernant ses pratiques de traitement des données. Le niveau premium ne diffuse pas de publicités et ne partage pas de données avec des partenaires publicitaires. Néanmoins, la politique de confidentialité n'a pas fait l'objet d'un audit indépendant complet, ce qui constitue une lacune significative par rapport à des concurrents comme NordVPN et Surfshark, qui ont réalisé plusieurs audits tiers portant à la fois sur leur infrastructure et sur leurs engagements de non-journalisation.
La tarification se situe au-dessus de la moyenne du secteur. Les abonnements mensuels débutent à 12,99 $, les abonnements annuels à 7,99 $ par mois, et les abonnements sur trois ans ramènent le coût à environ 2,99 $ par mois. Une option à vie est disponible à 165 $. Les moyens de paiement sont limités aux cartes de crédit et à PayPal, sans option en cryptomonnaie. Le niveau gratuit offre une bande passante illimitée sur ordinateur de bureau, mais restreint les utilisateurs à un seul appareil, à une poignée de localisations de serveurs, et affiche des publicités vidéo sur mobile.
Hotspot Shield est un VPN performant pour les tâches nécessitant des vitesses élevées, comme le streaming et le téléchargement de fichiers volumineux. Son protocole Catapult Hydra offre un débit véritablement impressionnant. Cependant, la combinaison d'une juridiction américaine, d'un protocole principal à code source fermé sans audits publiquement vérifiables et d'un historique documenté de manquements en matière de confidentialité en fait un choix peu adapté aux utilisateurs dont la préoccupation première est l'anonymat et la protection des données. Il occupe une niche claire : la haute performance et l'accès au streaming en priorité, avec la confidentialité comme considération secondaire.