salut :)
le script qui te renvoies l'identifiant (et pas le mot de passe) d'une session avait fonctionné sur la premiere version de caramail, et tout ça avait commencé par la faille CSS, le site acceptait le CSS, les pieces jointes étaient mal filtrés, donc si hotmail accepte le rtf il sera possible de créer un script adapté qui retournera à son envoyeur l'identifiant de la session de la victime
enfin c'est ce que je pense :)