"Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 100 000 francs d’amende". Voilà ce que dit la loi Godfrain de 1988. Le maximum en termes d’années de prison est actuellement (avant entrée en vigueur de la Loi sur la société de l’information) de trois ans. La LSI pourrait porter ce maximum à cinq ans. À moins que le législateur ne remanie le texte. L’intérêt porté par les hommes politiques, les législateurs et les forces de l’ordre aux pirates informatiques est légitime. Personne ne souhaite découvrir son compte en banque vidé, par exemple. De même, il ne serait pas acceptable qu’un pirate puisse arrêter toute l’informatique d’un hôpital comme Georges Pompidou ou faire tomber les avions... Reste que, jusqu’ici, aucune action de ce type n’a été répertoriée. Car si des individus réussissent à infiltrer de tels réseaux, il est peu probable qu’ils exploitent leur prouesse. Les "pirates" informatiques arrêtés (et surmédiatisés) sont généralement des gamins de 15 ans ayant assailli quelques sites web.

Reste un petit problème... S’il trouve utile d’allonger le nombre d’années de prison encourues, le législateur ne se pose aucune question sur la pertinence technique des crimes décrits : "Accéder ou de se maintenir, frauduleusement"... Car, depuis 1988, les systèmes de traitement automatisés de données ont quelque peu évolué. Premier changement, en prenant la main sur un serveur web, par exemple, le pirate n’accède plus à un réseau interne, mais bien à un serveur placé sur un réseau public. Ensuite, comment qualifier l’accès à un fichier contenant les numéros en clair de cartes bancaires lorsqu’il s’agit de mabelleboutiqueenligne.com/numeros_de_carte/lesnumeros.txt ? Le pirate ne fait que visionner le contenu d’un fichier dans un répertoire du site qui est public puisque son accès n’est pas protégé par identifiant et mot de passe. En outre, le vilain pirate qui met ainsi la sécurité nationale en péril a bien demandé au site web de lui envoyer une page contenant les numéros. Mais dès que cette page est chargée sur son navigateur, il n’est plus connecté au serveur. Pourtant, il dispose toujours des numéros. Comment dès lors affirmer que le pirate se "maintient" ?